Der Angriff auf die Telekommunikationsinfrastruktur in Südasien und Teilen Europas ging vom chinesischen Hackernetzwerk APT aus.
Wenn ich das richtig verstehe, könnte man UAT-7290 nur verhindern / abschalten, wenn man die benötigten C2s (141 Hosts) auf einen Schlag blockieren könnte?! Ein verbliebener C2 würde ansonsten nämlich über „Bulbature“ zusätzliche oder neue C2-Adressen über diesen C2-Server beziehen und die Kommunikation stattdessen über diese abwickeln.
Irgendwie hat das etwas von einer „Never ending story“! Solange man also „Bulbature“ nicht stilllegen kann, hat „SilentRaid“ den nötigen Kommunikationsknoten zur Hand, um Endpoint-Access zu erhalten. Bemerkt habe ich bei meiner Suche, dass sich die Zahl der C2s wohl auch andauernd verändern kann, es aber für den Einsatz von UAT-7290 keinen Unterschied macht. Aktuell liegen wir nämlich bei 96 C2s, siehe:
Ob man diese, durch „Bulbature“ eingeführte Rattenschwanz-Technologie, irgendwann in den Griff bekommt, steht somit erstmal in den Sternen!
Endlich einer der es versteht. Du triffst den Nagel auf den Kopf, genauso ist es
1.Strenge SSH-Zugriffskontrollen implementieren: Passwortauthentifizierung zugunsten schlüsselbasierter Authentifizierung deaktivieren, Multi-Faktor-Authentifizierung (MFA) für Fernzugriff erzwingen und SSH-Zugriff auf vertrauenswürdige IP-Adressen beschränken. 2. Kontinuierliche Netzwerksegmentierung durchführen, um Edge-Geräte und kritische Infrastrukturkomponenten zu isolieren und so die Ausbreitungsmöglichkeiten zu reduzieren. 3. Fortschrittliche Endpoint Detection and Response (EDR)-Lösungen einsetzen, die bekannte Malware-Hashes und Verhaltensindikatoren der Malware-Familien von UAT-7290 erkennen können. 4. Netzwerkverkehr auf Aufklärungsaktivitäten wie ungewöhnliche Scans, Brute-Force-Angriffe und Ausnutzungsversuche von Eintages-Schwachstellen überwachen. 5. Ein aktuelles Inventar der Edge-Geräte führen und bekannte Schwachstellen, insbesondere solche in öffentlich zugänglichen Anwendungen und Netzwerkdiensten, zeitnah beheben. 6. Programme zur Bedrohungsanalyse einrichten, die sich auf die Erkennung von Operational Relay Box-Infrastrukturen und von Akteuren mit China-Nexus genutzten Techniken zur lateralen Ausbreitung konzentrieren. 7. Mit nationalen Cybersicherheitszentren zusammenarbeiten und Bedrohungsinformationen austauschen, um die Erkennungs- und Reaktionsfähigkeiten gegen diesen Akteur zu verbessern. 8. Härten Sie Linux-Systeme ab, indem Sie unnötige Dienste deaktivieren, Sicherheitskonfigurationen anwenden und Benutzerberechtigungen regelmäßig überprüfen. 9. Erstellen Sie Notfallpläne speziell für Szenarien, in denen Telekommunikationsinfrastrukturen kompromittiert werden, einschließlich Eindämmungs- und Beseitigungsmaßnahmen. 10. Nutzen Sie Bedrohungsdaten, um Erkennungssignaturen und Indikatoren für eine Kompromittierung (IOCs), wie z. B. die bereitgestellten Malware-Hashes, zu aktualisieren.
