Китайские хакеры снова используют торренты — но для кражи данных провайдеров

Эксперты выявили три новых вредоносных инструмента, созданных группой UAT-9244.

Китайская хакерская группировка начала новую волну атак на телекоммуникационные компании Южной Америки. Исследователи из Cisco Talos обнаружили три новых вредоносных программы, с помощью которых злоумышленники проникают в сети операторов связи, заражают оборудование и превращают устройства в узлы для дальнейших атак.

Группа UAT-9244, по данным специалистов, тесно связана с кибершпионажем Китая и имеет пересечения с другой известной группой — Famous Sparrow. С 2024 года она нацелена на критическую инфраструктуру связи в Южной Америке, поражая рабочие станции Windows, серверы Linux и сетевое оборудование на периферии сетей.

В кампании используются три вредоносные программы: TernDoor, PeerTime и BruteEntry. Каждая выполняет определённую задачу — закрепление в системе, удалённое управление заражёнными устройствами и массовый перебор паролей.

Ключевой инструмент — бэкдор TernDoor, основанный на предыдущем вредоносном инструменте CrowDoor, который использовали китайские группы Famous Sparrow и Earth Estries. CrowDoor, в свою очередь, произошёл от SparrowDoor. Аналоги инструментов фиксировались и в операциях Tropic Trooper, что указывает на тесные связи между группами.

Для внедрения кода используется метод подмены библиотек. Легитимный файл wsprint.exe загружает вредоносную библиотеку BugSplatRc64.dll, которая расшифровывает WSPrint.dll и запускает TernDoor в памяти. Бэкдор обеспечивает полный контроль над системой: сбор информации о компьютере, управление процессами, выполнение команд и доступ к файлам. В состав входит зашифрованный драйвер Windows, способный останавливать и возобновлять процессы, скрывая активность.

Для закрепления в системе создаётся задача планировщика Windows WSPrint, а ключи реестра модифицируются, чтобы запускать TernDoor при старте системы. Иногда добавляется автозапуск при входе пользователя. Команды поступают с управляющего сервера через IP, порт, User-Agent и другие параметры.

PeerTime работает на Linux и распространяется как ELF-файл, поддерживающий разные архитектуры. Он устанавливается через скрипт, проверяет наличие Docker и при необходимости запускается внутри контейнера. PeerTime использует протокол BitTorrent для связи с другими заражёнными устройствами, получая команды и файлы. Есть две версии программы: на C/C++ и Rust. Вредоносная программа может маскироваться под обычные процессы.

Третий инструмент, BruteEntry, превращает заражённые устройства в прокси для перебора паролей — так называемые Operational Relay Boxes. Программа устанавливается на сетевое оборудование на границе инфраструктуры, связывается с управляющим сервером и получает список целей. BruteEntry подбирает пароли к SSH, базам Postgres и веб-интерфейсу Apache Tomcat, отправляя успешные результаты обратно.

Эксперты Cisco Talos отмечают, что UAT-9244 активно расширяет инфраструктуру и совершенствует вредоносные инструменты. Прямых связей с другой китайской кампанией Salt Typhoon пока не выявлено, хотя обе операции нацелены на телекоммуникационные сети.