Назад к блогу

Новая кампания китайского APT‑группы UAT‑9244: целенаправленные атаки на телекоммуникационные компании в Южной Америке

4 мин. чтения1 просмотровИИ-генерация

Новая кампания китайской APT‑группы: целенаправленные атаки на телекоммуникационные компании в Южной Америке

С начала 2024 года в Южной Америке наблюдается активная деятельность продвинутой угрозы, связанной с Китаем. По данным открытых аналитических источников, китайская APT‑группа проводит кампанию, направленную на телекоммуникационные операторы региона, используя недавно разработанные вредоносные модули для получения глубокого контроля над сетевой инфраструктурой. В отличие от типичных атак, они охватывают как серверы под управлением Windows и Linux, так и специализированные сетевые устройства, расположенные на границе сети (edge‑устройства).

Что известно о кампании

  • Таргет – крупные и средние телекоммуникационные провайдеры, обслуживающие как фиксированные, так и мобильные сети.
  • Временной диапазон – операции фиксируются с начала 2024 года и продолжаются по сей день.
  • Технический арсенал – три новых вредоносных импланта, способных работать на:
    • Windows‑серверах и рабочих станциях;
    • Linux‑системах, часто используемых в ядре сетевых функций;
    • Встроенных платах и микроконтроллерах, которые управляют маршрутизаторами, коммутаторами и другими edge‑устройствами.
  • Цели – получение привилегированного доступа, возможность перехвата трафика, изменение конфигураций оборудования и длительное скрытое присутствие в сети.

Почему это важно для управления внешней поверхностью атаки

Телекоммуникационные компании являются критически важными поставщиками услуг, от которых зависят бизнес‑процессы, правительственные службы и конечные пользователи. Их инфраструктура часто выступает в роли «мостов» между внутренними корпоративными сетями и публичным интернетом. Успешный компромисс edge‑устройств открывает путь к:

  • Перехвату и модификации данных в реальном времени, что может нарушить целостность передаваемой информации.
  • Расширению зоны поражения: от захваченного устройства злоумышленники могут перемещаться к другим сегментам сети, включая дата‑центры и облачные сервисы.
  • Долгосрочному присутствию: встроенные модули часто трудно обнаружить традиционными средствами мониторинга, что усложняет реагирование.

Для команд, отвечающих за внешнюю поверхность атаки (External Attack Surface Management, EASM), такие сценарии подчеркивают необходимость непрерывного сканирования не только публичных IP‑адресов, но и скрытых компонентов, которые могут быть доступны через поставщиков услуг.

Практические рекомендации для команд безопасности

  1. Расширьте инвентаризацию

    • Включите в список активов не только серверы и рабочие станции, но и все сетевые edge‑устройства (маршрутизаторы, коммутаторы, оптические линии доступа).
    • Используйте автоматизированные решения, способные обнаруживать устройства по протоколам LLDP, CDP и SNMP.

  2. Усилите мониторинг аномалий

    • Настройте сбор логов с embedded‑устройств и интегрируйте их в SIEM‑систему.
    • Ищите признаки неожиданных изменений конфигураций, новых процессов или нестандартных сетевых соединений.

  3. Применяйте принцип наименьших привилегий

    • Ограничьте административный доступ к edge‑устройствам только проверенными учетными записями.
    • Регулярно проверяйте списки привилегированных пользователей и их права.

  4. Обновляйте прошивки и патчи

    • Внедрите процесс регулярного обновления микропрограммного обеспечения всех сетевых компонентов.
    • При отсутствии официальных патчей рассмотрите возможность применения временных мер (например, отключение ненужных сервисов).

  5. Проведите оценку внешней поверхности

    • Используйте EASM‑инструменты для выявления скрытых точек входа, включая субдомены, облачные сервисы и API, связанные с телеком‑операторами.
    • Сравните полученные данные с известными индикаторами компрометации (IOCs), опубликованными в открытых источниках.

  6. Разработайте план реагирования на компрометацию edge‑устройств

    • Определите процедуры изоляции подозрительных устройств без нарушения клиентского трафика.
    • Подготовьте сценарии восстановления конфигураций из проверенных резервных копий.

  7. Обучайте персонал

    • Проводите регулярные тренинги по распознаванию фишинговых сообщений и социальному инжинирингу, которые часто являются первым вектором доступа к сетевым системам.
    • Информируйте инженеров о специфике атак на встроенные устройства и о методах их обнаружения.

Действия, которые стоит выполнить уже сегодня

  • Запустите полное сканирование всех публичных и внутренних IP‑адресов, включив в него сетевые edge‑устройства.
  • Сравните полученные результаты с последними публикациями о кампании китайской APT‑группы и добавьте найденные IOCs в ваши detection‑правила.
  • Обновите политики доступа к сетевому оборудованию, убедившись, что только авторизованные пользователи имеют административные права.
  • Включите автоматическую проверку наличия обновлений прошивок в ваш процесс управления изменениями.

Эти шаги помогут сократить поверхность атаки, повысить видимость скрытых компонентов инфраструктуры и снизить риск успешного проникновения, подобного тем, что демонстрируют наблюдаемые в регионе атаки.

Поделиться:TelegramVK

Похожие статьи

Иранская APT‑группа Seedworm активизировалась в сетях американских компаний

10 мар. 20263 мин. чтения2
Новости

Взлом текстового редактора: Почему атака на Notepad++ — это урок для всех компаний

26 фев. 20262 мин. чтения3
управление поверхностью атакиeasmвредоносное поуправление уязвимостямиоценка рисков

Новая волна разрушительных атак Handala Hack с использованием RDP и множества инструментов для удаления данных

17 мар. 20263 мин. чтения2
вредоносное поуправление уязвимостямиуправление поверхностью атакиeasmоценка рисков
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.