UAT-9244: chińsko-powiązany APT atakuje operatorów telekomunikacyjnych w Ameryce Południowej (TernDoor, PeerTime, BruteEntry)

Wprowadzenie do problemu / definicja luki

Cisco Talos opisał nowy klaster działań nazwany UAT-9244, który – według analityków – z wysoką pewnością jest powiązany z chińskim zapleczem APT i ściśle zbieżny operacyjnie z ekosystemem znanym jako FamousSparrow (oraz wskazuje na nakładanie się z Tropic Trooper). Kampania ma trwać co najmniej od 2024 r. i koncentruje się na krytycznej infrastrukturze telekomunikacyjnej w Ameryce Południowej, obejmując systemy Windows, Linux oraz urządzenia brzegowe (edge).

W praktyce nie jest to „pojedyncza luka” typu CVE, tylko zestaw technik intruzyjnych + 3 implanty malware, które razem umożliwiają: utrzymanie trwałego dostępu (backdoory), poruszanie się po środowisku oraz przekształcanie przejętych hostów/edge w węzły masowego skanowania i brute force.

W skrócie

• Cel: operatorzy telco (Ameryka Południowa), środowiska mieszane Windows/Linux + edge.
• Implanty:
  • TernDoor (Windows) – nowy wariant rodziny CrowDoor/SparrowDoor, uruchamiany przez DLL side-loading, z komponentem sterownika do zarządzania procesami.
  • PeerTime (Linux/ELF, multi-arch) – backdoor P2P używający protokołu BitTorrent do pobierania informacji C2 i ładunków.
  • BruteEntry (Linux/edge, Go) – agent budujący ORB (Operational Relay Box): pobiera zadania z C2, masowo skanuje i brute-forcuje SSH, Postgres, Tomcat.
• Ważny kontekst obrony: ORB to często infrastruktura „na wynajem”/zarządzana przez pośredników, gwałtownie rotowana, co skraca „żywotność” IOC i utrudnia atrybucję po samych IP.

Kontekst / historia / powiązania

Talos wiąże UAT-9244 z FamousSparrow na podstawie zbieżności narzędzi, TTP i doboru ofiar. Jednocześnie podkreśla, iż mimo podobnego profilu celów (telco) nie potwierdzono twardego powiązania z klastrem określanym jako Salt Typhoon.

Dodatkowo:

• ESET opisuje FamousSparrow jako aktywną od co najmniej 2019 r. grupę cyberszpiegowską, która rozwijała warianty SparrowDoor i w różnych kampaniach wykorzystywała m.in. webshee na IIS oraz środowiska podatne/nieaktualne.
• Materiały z Virus Bulletin (VB2023) wskazują na relację Tropic Trooper FamousSparrow poprzez współdzielenie/obserwację CrowDoor, opisywanego jako nazwanego „od SparrowDoor” i wykazującego podobieństwa w loaderze.
• Trend Micro opisuje Earth Estries (aka Salt Typhoon) jako aktora używającego m.in. Crowdoor w łańcuchu narzędzi i technik, co pomaga zrozumieć „rodzinę” i obieg komponentów w tym ekosystemie.

Analiza techniczna / szczegóły luki

1) TernDoor (Windows): DLL side-loading + loader + sterownik

Talos opisuje łańcuch infekcji, w którym UAT-9244 uruchamia legalny plik wsprint.exe, aby załadować złośliwy loader DLL BugSplatRc64.dll (klasyczny DLL side-loading). Loader czyta z dysku plik danych WSPrint.dll, odszyfrowuje go i wykonuje w pamięci, finalnie uruchamiając backdoor TernDoor.

Cechy wyróżniające TernDoor względem znanych wariantów CrowDoor:

• inne zestawy kodów poleceń (command codes),
• osadzony sterownik Windows (SYS) szyfrowany (AES) w shellcodzie, wykorzystywany do wstrzymywania/wznawiania/ubijania procesów (ułatwienia ewazji/utrzymania dostępu).

Persistencja i ukrywanie śladów:

• persistencja przez Scheduled Task (np. zadanie „WSPrint”) lub klucz Run,
• dodatkowe modyfikacje w rejestrze związane z TaskCache, aby ukryć zadanie.

2) PeerTime (Linux/ELF, P2P): BitTorrent jako kanał C2

PeerTime to backdoor ELF kompilowany na wiele architektur (ARM/AARCH/PPC/MIPS itd.), co sugeruje gotowość do infekowania także środowisk wbudowanych i urządzeń brzegowych. Dostarczany jest przez skrypt powłoki, który pobiera loader i binarkę „instrumentora”; instrumentor sprawdza obecność Dockera i potrafi uruchamiać loader w kontekście docker.

Najciekawsze elementy:

• BitTorrent do pozyskiwania informacji C2, pobierania plików od „peerów” i wykonywania ich na hoście,
• użycie BusyBox do kopiowania payloadów,
• co najmniej dwie linie rozwojowe: starsza C/C++ i nowsza w Rusta.

3) BruteEntry (Go): ORB i masowe brute force

Trzeci implant, BruteEntry, to narzędzie do budowania operacyjnych węzłów pośredniczących (ORB) na przejętych systemach Linux/edge. Mechanika wygląda jak „agent + C2 + kolejka zadań”:

• agent rejestruje się do C2 (IP/hostname),
• dostaje agent_id,
• pobiera listę zadań (/tasks/<agent_id>?limit=1000) i wykonuje skany/brute force w zależności od typu: tomcat / postgres / ssh,
• wyniki raportuje POST-em do C2 (success/notes).

W praktyce oznacza to, iż przejęte urządzenia brzegowe mogą zostać zamienione w masowo-skanujące „proxy-boty”, wspierające dalsze włamania (w telco i poza nim).

ORB (Operational Relay Box): dlaczego to boli obrońców

Google/Mandiant opisuje ORB jako sieci węzłów infrastrukturalnych (kompromitowane routery, VPS-y lub miks), często administrowane przez pośredników/kontraktorów, a nie przez pojedynczą grupę APT. Skutki:

• infrastruktura rotuje gwałtownie (czasem ~miesiąc na IPv4), co przyspiesza „IOC extinction”,
• sama obserwacja IP egress nie wystarcza do pewnej atrybucji – trzeba patrzeć na narzędzia i TTP.

Praktyczne konsekwencje / ryzyko

1. Ryzyko dla telco = ryzyko dla państwa i gospodarki. Operatorzy telekomunikacyjni to naturalny cel cyberszpiegostwa (dane billingowe, metadane, dostęp do segmentów szkieletowych, punkty integracji).
2. Atak na edge = efekt mnożnikowy. jeżeli edge staje się ORB, organizacja może nie tylko tracić kontrolę nad własnym ruchem, ale też stać się „infrastrukturą” do ataków na innych (ryzyko prawne, reputacyjne, blacklisting).
3. Wykrywalność po IP spada. Szybka rotacja ORB skraca użyteczność list IOC i wymusza podejście behawioralne (telemetria EDR/NDR, modelowanie TTP).

Rekomendacje operacyjne / co zrobić teraz

Priorytet 1: twardnienie edge i Linux

• inwentaryzacja urządzeń brzegowych i usług zdalnych (SSH/Tomcat/Postgres), ograniczenie ekspozycji, wymuszenie MFA tam, gdzie możliwe, oraz odcięcie paneli administracyjnych od Internetu (VPN/Zero Trust). (BruteEntry celuje właśnie w te powierzchnie).
• rotacja i weryfikacja haseł (szczególnie „domyślnych” i współdzielonych), polityki anty-brute-force, rate limiting, fail2ban/sshguard, blokady na warstwie WAF/IPS dla paneli Tomcat Manager.

Priorytet 2: polowanie na artefakty TernDoor

• monitoruj oznaki DLL side-loading i nietypowe uruchomienia wsprint.exe,
• szukaj anomalii: katalog/ścieżka i pliki powiązane z „WSPrint” (zadanie harmonogramu, klucze Run), oraz działań ukrywających task w TaskCache.

Priorytet 3: wykrywanie PeerTime

• na Linux/embedded: detekcja nietypowego użycia BitTorrent w serwerach produkcyjnych + procesów podszywających się pod „benign” (PeerTime potrafi zmieniać nazwę procesu),
• anomalia: uruchamianie binarek przez docker <ścieżka_binarki> w sposób niespójny z praktykami devops.

Priorytet 4: obserwacje sieciowe i podejście „ORB-aware”

• zamiast wyłącznie blokowania IP: korelacja zachowań ORB (rotacja, geograficzna „bliskość” źródeł, nietypowe wzorce egress) i „fingerprintów” narzędzi/TTP,
• w SOC: playbook pod kampanie telco z naciskiem na lateral movement i długotrwałe utrzymanie dostępu.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• UAT-9244 vs klasyczne kampanie APT oparte o stałe C2: tutaj dochodzi warstwa ORB, która „rozmywa” infrastrukturę i utrudnia blokowanie po IOC.
• TernDoor/CrowDoor/SparrowDoor: Talos opisuje TernDoor jako wariant CrowDoor, a materiały branżowe (VB) pokazują, iż CrowDoor bywa zestawiany z rodziną SparrowDoor i pojawia się w kontekstach łączących Tropic Trooper z FamousSparrow.
• Atrybucja a „Salt Typhoon”: ESET i Talos ostrożnie podchodzą do łączenia klastrów wyłącznie po profilu celu (telco) – podkreślając potrzebę dowodów TTP/tooling.

Podsumowanie / najważniejsze wnioski

UAT-9244 to przykład „pełnego pakietu” dla cyberszpiegostwa przeciw telco: Windowsowy backdoor z driverem (TernDoor), Linuxowy P2P backdoor (PeerTime) oraz agent ORB do skanowania i brute force (BruteEntry). Warto potraktować tę kampanię jako sygnał, iż obrona telco (i dostawców telco) powinna iść w stronę: twardnienia edge, ograniczania powierzchni administracyjnej, detekcji behawioralnej oraz analizy TTP ponad listami IP.

Źródła / bibliografia

1. Cisco Talos Intelligence Blog – opis kampanii UAT-9244 i implantów (TernDoor/PeerTime/BruteEntry). (Cisco Talos Blog)
2. Google Cloud / Mandiant – koncepcja ORB, rotacja infrastruktury i „IOC extinction”. (Google Cloud)
3. ESET (WeLiveSecurity) – analiza FamousSparrow i kontekst atrybucyjny wokół Salt Typhoon. (welivesecurity.com)
4. Trend Micro – Earth Estries (aka Salt Typhoon) i użycie Crowdoor w łańcuchach ataku. (www.trendmicro.com)
5. Virus Bulletin (VB2023, slajdy) – CrowDoor/SparrowDoor i relacje Tropic Trooper FamousSparrow.