Cisco Talos รายงานการโจมตีจากกลุ่ม UAT-7290 ที่เชื่อมโยงกับจีน ซึ่งดำเนินการสอดแนมบริษัทโทรคมนาคมในเอเชียใต้และยุโรปตะวันออกเฉียงใต้มาตั้งแต่ปี 2022 กลุ่มนี้ใช้การสอดแนมทางเทคนิคอย่างกว้างขวางก่อนการโจมตี และใช้มัลแวร์ตระกูล RushDrop, DriveSwitch และ SilentRaid นอกจากนี้ UAT-7290 ยังมีบทบาทสองด้านคือการสอดแนมและการสร้าง Operational Relay Box (ORB) nodes เพื่อให้กลุ่มแฮกเกอร์จีนอื่น ๆ ใช้ในการปฏิบัติการที่เป็นอันตราย
Severity: วิกฤต
System Impact:
- ผู้ให้บริการโทรคมนาคมในเอเชียใต้และยุโรปตะวันออกเฉียงใต้
- โครงสร้างพื้นฐานเครือข่ายองค์กร
- ระบบ Linux (เป้าหมายหลักของมัลแวร์)
- ผลิตภัณฑ์เครือข่าย Edge (Edge Networking Products)
- ระบบ Windows (มีการใช้ RedLeaves และ ShadowPad)
Technical Attack Steps:
- การสอดแนมทางเทคนิคอย่างกว้างขวาง (extensive technical reconnaissance) เพื่อรวบรวมข้อมูลเกี่ยวกับองค์กรเป้าหมาย
- ใช้ประโยชน์จากช่องโหว่ 1-day (1-day exploits) ในผลิตภัณฑ์เครือข่าย Edge ที่ได้รับความนิยม
- ใช้การโจมตีแบบ Brute Force ผ่าน SSH ที่เฉพาะเจาะจงกับเป้าหมายเพื่อเข้าถึงอุปกรณ์ Edge
- ได้รับสิทธิ์การเข้าถึงเริ่มต้นและยกระดับสิทธิ์ (escalate privileges) บนระบบที่ถูกบุกรุก
- ติดตั้งมัลแวร์สำหรับ Linux โดยใช้ RushDrop เป็น Dropper เพื่อเริ่มต้นห่วงโซ่การติดเชื้อ
- ใช้ DriveSwitch เพื่อรัน SilentRaid บนระบบที่ติดเชื้อ
- SilentRaid สร้างการเข้าถึงแบบถาวรและสื่อสารกับเซิร์ฟเวอร์ภายนอก (C2), เปิด Remote Shell, ตั้งค่า Port Forwarding และดำเนินการจัดการไฟล์
- ติดตั้ง Backdoor ชื่อ Bulbature เพื่อเปลี่ยนอุปกรณ์ Edge ที่ถูกบุกรุกให้เป็น Operational Relay Box (ORB) ซึ่งอาจใช้โดยกลุ่มแฮกเกอร์จีนอื่น ๆ
Recommendations:
Short Term:
- อัปเดตและแก้ไขช่องโหว่ 1-day ของผลิตภัณฑ์เครือข่าย Edge และระบบปฏิบัติการทันที
- เสริมความแข็งแกร่งของการตรวจสอบสิทธิ์ SSH เพื่อป้องกันการโจมตีแบบ Brute Force
- เฝ้าระวังและตรวจสอบกิจกรรมที่ผิดปกติบนอุปกรณ์ Edge และเซิร์ฟเวอร์ Linux อย่างใกล้ชิด
Long Term:
- นำโซลูชัน Threat Intelligence มาใช้เพื่อตรวจจับและตอบสนองต่อภัยคุกคามที่เกี่ยวข้องกับกลุ่มแฮกเกอร์ที่เชื่อมโยงกับจีน
- ปรับใช้โซลูชัน EDR/XDR สำหรับทั้งระบบ Linux และ Windows เพื่อตรวจจับและป้องกันมัลแวร์ที่ซับซ้อน
- ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายของการโจมตี
- นำหลักการ Zero Trust มาใช้กับอุปกรณ์ Edge และโครงสร้างพื้นฐานเครือข่ายทั้งหมด
- ตรวจสอบและอัปเดตโปรแกรมความปลอดภัยและนโยบายการเข้าถึงอย่างสม่ำเสมอ
Source: https://thehackernews.com/2026/01/china-linked-uat-7290-targets-telecoms.html
Share this content: