Der Angriff auf die Telekommunikationsinfrastruktur in Südasien und Teilen Europas ging vom chinesischen Hackernetzwerk APT aus.
Wenn ich das richtig verstehe, könnte man UAT-7290 nur verhindern / abschalten, wenn man die benötigten C2s (141 Hosts) auf einen Schlag blockieren könnte?! Ein verbliebener C2 würde ansonsten nämlich über „Bulbature“ zusätzliche oder neue C2-Adressen über diesen C2-Server beziehen und die Kommunikation stattdessen über diese abwickeln.
Irgendwie hat das etwas von einer „Never ending story“! Solange man also „Bulbature“ nicht stilllegen kann, hat „SilentRaid“ den nötigen Kommunikationsknoten zur Hand, um Endpoint-Access zu erhalten. Bemerkt habe ich bei meiner Suche, dass sich die Zahl der C2s wohl auch andauernd verändern kann, es aber für den Einsatz von UAT-7290 keinen Unterschied macht. Aktuell liegen wir nämlich bei 96 C2s, siehe:
Ob man diese, durch „Bulbature“ eingeführte Rattenschwanz-Technologie, irgendwann in den Griff bekommt, steht somit erstmal in den Sternen!
Endlich einer der es versteht. Du triffst den Nagel auf den Kopf, genauso ist es
1.Strenge SSH-Zugriffskontrollen implementieren: Passwortauthentifizierung zugunsten schlüsselbasierter Authentifizierung deaktivieren, Multi-Faktor-Authentifizierung (MFA) für Fernzugriff erzwingen und SSH-Zugriff auf vertrauenswürdige IP-Adressen beschränken. 2. Kontinuierliche Netzwerksegmentierung durchführen, um Edge-Geräte und kritische Infrastrukturkomponenten zu isolieren und so die Ausbreitungsmöglichkeiten zu reduzieren. 3. Fortschrittliche Endpoint Detection and Response (EDR)-Lösungen einsetzen, die bekannte Malware-Hashes und Verhaltensindikatoren der Malware-Familien von UAT-7290 erkennen können. 4. Netzwerkverkehr auf Aufklärungsaktivitäten wie ungewöhnliche Scans, Brute-Force-Angriffe und Ausnutzungsversuche von Eintages-Schwachstellen überwachen. 5. Ein aktuelles Inventar der Edge-Geräte führen und bekannte Schwachstellen, insbesondere solche in öffentlich zugänglichen Anwendungen und Netzwerkdiensten, zeitnah beheben. 6. Programme zur Bedrohungsanalyse einrichten, die sich auf die Erkennung von Operational Relay Box-Infrastrukturen und von Akteuren mit China-Nexus genutzten Techniken zur lateralen Ausbreitung konzentrieren. 7. Mit nationalen Cybersicherheitszentren zusammenarbeiten und Bedrohungsinformationen austauschen, um die Erkennungs- und Reaktionsfähigkeiten gegen diesen Akteur zu verbessern. 8. Härten Sie Linux-Systeme ab, indem Sie unnötige Dienste deaktivieren, Sicherheitskonfigurationen anwenden und Benutzerberechtigungen regelmäßig überprüfen. 9. Erstellen Sie Notfallpläne speziell für Szenarien, in denen Telekommunikationsinfrastrukturen kompromittiert werden, einschließlich Eindämmungs- und Beseitigungsmaßnahmen. 10. Nutzen Sie Bedrohungsdaten, um Erkennungssignaturen und Indikatoren für eine Kompromittierung (IOCs), wie z. B. die bereitgestellten Malware-Hashes, zu aktualisieren.
Zumindest Punkt 1, betrifft auch Hobby-Server-Admins, der Rest nur teilweise
Aber für Anbieter kritischer Infrastruktur wie Telekom, sollte das alles Standard sein…
Aber bleibt wohl allzuoft beim „sollte“
Jap…oder ein Vulkanier zündet eine offen zugängliche Kabelbrücke (trotz KRITIS!) an, um damit über 45.000 Haushalte sowie div. Unternehmen (ca. 2.000) für zig Tage in Kälte und Dunkelheit zu schicken! Die letzten mußten eine Woche aushalten!
Klingt leider plausibel. Telekommunikationsinfrastruktur ist ein extrem attraktives Ziel – gerade wegen Metadaten, Abhörmöglichkeiten und der Möglichkeit, Folgeangriffe vorzubereiten.
Interessant wäre, ob man schon genauer weiß, welche Komponenten konkret kompromittiert wurden (Core, Signalisierung, Management-Systeme).
Jap…gibt es anscheinend!
Ein hochentwickelter Bedrohungsakteur, der unter der Bezeichnung UAT-8837 geführt wird und vermutlich Verbindungen nach China hat, konzentriert sich auf kritische Infrastruktursysteme und verschafft sich Zugang durch die Ausnutzung sowohl bekannter als auch neu entdeckter Schwachstellen.
Die Hackergruppe ist mindestens seit 2025 aktiv und ihr Hauptziel scheint darin zu bestehen, sich einen ersten Zugang zu den anvisierten Organisationen zu verschaffen, so die Forscher von Cisco Talos in einem am 16.01.2026 veröffentlichten Bericht.
Beide UATs arbeiten momentan gleiche Aufgabengebiete ab! Eventuell hat 7290 nur die Vorarbeit für 8837 geleistet, da UAT-8837 acht Tage später bei den gleichen Zielvektoren auftauchte!
UAT-8837-Angriffe beginnen typischerweise mit der Ausnutzung kompromittierter Zugangsdaten oder der Ausnutzung von Server-Schwachstellen.
Bei einem kürzlich aufgetretenen Vorfall nutzte der Angreifer CVE-2025-53690 aus, eine Zero-Day-Schwachstelle in Sitecore-Produkten , die die Deserialisierung des ViewState betrifft und möglicherweise auf den Zugriff auf nicht offengelegte Sicherheitsprobleme hindeutet.
Forscher von Mandiant meldeten Anfang September 2025, dass CVE-2025-53690 eine aktiv ausgenutzte Zero-Day-Schwachstelle sei. Bei einem Angriff beobachteten sie den Einsatz einer Aufklärungs-Backdoor namens „WeepSteel“.
Cisco Talos schätzt die Verbindung von UAT-8837 zu chinesischen Operationen als mittelmäßig ein. Die Einschätzung des Forschers basiert auf Überschneidungen in Taktiken, Techniken und Verfahren (TTPs) mit denen anderer bekannter Bedrohungsakteure mit China-Bezug.
Nach dem Eindringen in das Netzwerk kann UAT-8837 native Windows-Befehle verwenden, um Host- und Netzwerkaufklärung durchzuführen und RDP RestrictedAdmin zu deaktivieren, um das Sammeln von Anmeldeinformationen zu erleichtern.
Analysten von Cisco Talos weisen darauf hin, dass die Aktivitäten des Angreifers nach der Ausnutzung der Sicherheitslücke auch manuelle Tastatureingaben umfassen, um verschiedene Befehle zur Erfassung sensibler Daten wie Anmeldeinformationen auszuführen.
Hinsichtlich der bei diesen Angriffen beobachteten Tools verwendet UAT-8837 überwiegend Open-Source- und Living-off-the-Land-Tools und wechselt ständig zwischen verschiedenen Varianten, um einer Erkennung zu entgehen.
GoTokenTheft, Rubeus, Certipy – zum Stehlen von Zugriffstoken, zum Missbrauch von Kerberos und zum Sammeln von Active Directory-bezogenen Anmeldeinformationen und Zertifikatsdaten
SharpHound, Certipy, setspn, dsquery, dsget – Auflistung von Active Directory-Benutzern, -Gruppen, -SPNs, -Dienstkonten und Domänenbeziehungen
Impacket, Invoke-WMIExec, GoExec, SharpWMI – Führen Befehle auf entfernten Systemen über WMI und DCOM aus; der Akteur wechselt zwischen den Tools, wenn die Ausführung durch Erkennung blockiert wird.
Earthworm – erstellt umgekehrte SOCKS-Tunnel und legt so interne Systeme der vom Angreifer kontrollierten Infrastruktur offen.
DWAgent – ein Fernverwaltungstool zur Aufrechterhaltung des Zugriffs und zur Bereitstellung zusätzlicher Nutzdaten
Windows-Befehle und -Dienstprogramme – sammeln Informationen zu Host, Netzwerk und Sicherheitsrichtlinien, einschließlich Passwörtern und Einstellungen
Aus den bei dem analysierten Einbruch ausgeführten Befehlen schlossen die Forscher, dass die Angreifer es auf Anmeldeinformationen, die AD-Topologie und Vertrauensbeziehungen sowie auf Sicherheitsrichtlinien und -konfigurationen abgesehen haben.
Gibt aber auch legale Möglichkeiten auf SS7 Dienste zuzugreifen und somit live tracking über Telefonnummer zu machen ??
Gibt aber auch legale Möglichkeiten auf SS7 Dienste zuzugreifen und somit live tracking über Telefonnummer zu machen ??
Auf Deutsch:
Ja, aber kostet halt viel Geld, Firma die Lizenzen hat, sich angemietet hat, Als Telko auftritt und so Zugriff kriegt. Das ist zumindest mein Wissensstand, ab 20-30k € bist du dabei
Wie funktioniert SS7-Live-Tracking?
Missbrauch und Anwendungen
Schutzmaßnahmen
Zusammenfassend: SS7-Live-Tracking ist eine schwerwiegende Bedrohung für die Privatsphäre, da es eine standortgenaue Verfolgung weltweit nur durch Kenntnis der Telefonnummer ermöglicht.