一个使用基于Linux恶意软件攻击电信供应商的复杂威胁组织，近期将其攻击范围扩大至东南欧的组织机构。

该组织被思科Talos内部追踪为UAT-7290，显示出强烈的中国关联特征，通常在网络间谍活动中以南亚电信运营商为主要目标。

UAT-7290组织至少自2022年开始活跃，同时扮演初始访问代理的角色，在攻击过程中建立运营中继箱（ORB）基础设施，供其他与中国关联的威胁组织后续利用。

研究人员指出，黑客在入侵前会进行广泛侦察，并混合使用定制化与开源恶意软件，同时利用边缘网络设备已知漏洞的公开利用程序。

思科Talos在今日发布的报告中指出："UAT-7290通过利用单日漏洞和针对性的SSH暴力破解，入侵面向公众的边缘设备，从而获取初始访问权限并在受感染系统中提升权限。"

UAT-7290攻击武器库

UAT-7290主要使用基于Linux的恶意软件套件，偶尔会部署如RedLeaves和ShadowPad等Windows植入程序——这些工具在多个中国关联攻击组织中被广泛共享。

思科重点列出了以下与UAT-7290关联的Linux恶意软件家族：

RushDrop（ChronosRAT） – 启动感染链的初始投放器。执行基础反虚拟机检查，创建或验证隐藏的.pkgdb目录，并解码内嵌的三个二进制文件：daytime（DriveSwitch执行器）、chargen（SilentRaid植入程序）以及被滥用于命令执行的合法Linux工具busybox。

DriveSwitch – 由RushDrop投放的辅助组件，主要功能是在受感染系统上执行SilentRaid植入程序。

SilentRaid（MystRodX） – 采用C++编写、基于插件化设计的主要持久化植入程序。执行基础反分析检查，通过谷歌公共DNS解析器解析其C2域名；支持远程Shell访问、端口转发、文件操作、tar目录归档、访问/etc/passwd以及收集X.509证书属性。

Bulbature – 此前由Sekoia记录过的基于Linux的UPX加壳植入程序，用于将受感染设备转化为运营中继箱（ORB）。该程序监听可配置端口，开启反向Shell，将C2配置存储在/tmp/*.cfg文件中，支持C2轮换机制，并使用自签名TLS证书。

Bulbature的TLS证书与Sekoia先前记录的证书相同，已在141个位于中国内地及香港的主机上发现，这些IP地址还与其他恶意软件家族存在关联，包括SuperShell、GobRAT和Cobalt Strike信标。

思科Talos的报告提供了关于UAT-7290所用恶意软件的技术细节，并附有入侵指标列表，以帮助各组织防御该威胁组织。