
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Cisco Talos opisało aktywność grupy UAT-7810, która rozwija złośliwe oprogramowanie wspierające budowę sieci typu ORB, czyli Operational Relay Box. Tego rodzaju infrastruktura opiera się na przejętych routerach, urządzeniach brzegowych i systemach IoT, przez które operatorzy zagrożeń przekazują swój ruch, utrudniając wykrywanie oraz atrybucję działań.
W centrum najnowszej kampanii znajduje się malware LONGLEASH, będący rozwinięciem wcześniej znanego SHORTLEASH. Jego zadaniem nie jest wyłącznie zapewnienie dostępu do pojedynczego urządzenia, ale także przekształcanie przejętych hostów w elementy rozproszonej infrastruktury pośredniczącej.
W skrócie
- Grupa UAT-7810 koncentruje się na kompromitowaniu publicznie dostępnych, niezałatanych urządzeń sieciowych.
- LONGLEASH rozszerza możliwości wcześniejszego backdoora o reverse shell, wieloprotokołowe proxy, TLS/PKI, funkcje pośredniego C2 oraz samo-usuwanie.
- Badacze zidentyfikowali także narzędzia DOGLEASH, JARLEASH i LEASHTEST, co wskazuje na modułowy ekosystem wykorzystywany do rozbudowy sieci ORB.
- Celem operacji jest budowa trwałej warstwy relay node’ów wspierających dalsze działania ofensywne.
Kontekst / historia
Sieci ORB są coraz częściej wykorzystywane w operacjach przypisywanych podmiotom powiązanym z chińskim cyberwywiadem. Ich znaczenie operacyjne polega na maskowaniu rzeczywistego źródła ruchu oraz wykorzystywaniu legalnie wyglądającej infrastruktury jako przekaźników dla dalszych ataków i komunikacji z zapleczem operatorskim.
W opisywanej kampanii UAT-7810 wykorzystuje głównie znane podatności typu n-day do uzyskania dostępu początkowego. Wśród wskazanych luk znalazły się podatności w routerach Ruckus, takie jak CVE-2020-22653, CVE-2020-22658 i CVE-2023-25717, a także CVE-2025-2492 w ASUS AiCloud. To potwierdza, że urządzenia sieciowe wystawione do Internetu nadal pozostają atrakcyjnym celem z powodu opóźnień w aktualizacjach, ograniczonej widoczności i słabego hardeningu.
Analiza techniczna
LONGLEASH zachowuje podstawowe cechy SHORTLEASH, takie jak komunikacja C2, obsługa tuneli sieciowych oraz możliwość działania w roli klienta i serwera. Jednocześnie znacząco rozszerza zakres funkcji, co czyni go komponentem infrastrukturalnym, a nie tylko klasycznym backdoorem.
Najważniejsze możliwości LONGLEASH obejmują:
- reverse shell umożliwiający interaktywną kontrolę nad urządzeniem,
- proxy i przekierowanie ruchu dla HTTP, DNS, SOCKS, TCP, ICMP i UDP,
- funkcje SMTP client/server,
- wsparcie dla TLS i PKI,
- mechanizm samo-usunięcia po wykryciu manipulacji,
- pracę jako pośredni serwer C2 przekazujący polecenia i dane.
Taki zestaw funkcji sugeruje, że malware został zaprojektowany z myślą o budowie trwałej i elastycznej siatki węzłów przekaźnikowych. Dla operatorów oznacza to większą odporność na zakłócenia oraz łatwiejsze ukrywanie ruchu za wieloma warstwami pośredniczącymi.
DOGLEASH został opisany jako lekki backdoor dla Linuksa wdrażany przez skrypty web shell. Po uruchomieniu nasłuchuje na porcie TCP, uwierzytelnia żądania przy użyciu zakodowanego hasła i pozwala wykonywać polecenia systemowe, modyfikować pliki, zbierać informacje o systemie oraz uruchamiać kod bezpośrednio w pamięci hosta.
JARLEASH to narzędzie administracyjne napisane w Javie, oferujące webowy dostęp do plików oraz funkcje serwerów FTP, SFTP i Netcat. Z kolei LEASHTEST pełni funkcję narzędzia testowego, służącego do sprawdzania, czy urządzenia IoT o architekturze MIPS są w stanie wykonywać wymagane funkcje malware. Razem narzędzia te wskazują na dojrzały, rozwijany ekosystem wspierający utrzymanie dostępu i operacje na przejętej infrastrukturze.
Konsekwencje / ryzyko
Największe ryzyko nie wynika wyłącznie z przejęcia pojedynczego routera, lecz z przekształcenia go w element rozproszonej infrastruktury operacyjnej. Taki węzeł może służyć do maskowania źródła kolejnych ataków, przekazywania ruchu do infrastruktury C2, tunelowania połączeń przez legalnie wyglądające adresy IP oraz budowy lokalnych punktów wyjścia dla operacji ukierunkowanych geograficznie.
Dla organizacji oznacza to kilka praktycznych problemów. Urządzenia sieciowe często są monitorowane słabiej niż serwery i stacje robocze, a nietypowy ruch wychodzący z routera lub urządzenia IoT bywa błędnie uznawany za szum operacyjny. Dodatkowo obsługa wielu protokołów proxy zwiększa elastyczność przeciwnika i utrudnia wykrywanie na podstawie pojedynczych wskaźników kompromitacji.
Mechanizmy samo-usuwania oraz wykonywania kodu w pamięci dodatkowo komplikują analizę powłamaniową. W efekcie organizacja może nie znaleźć wielu śladów na dysku, mimo że urządzenie przez dłuższy czas pełniło rolę ukrytego węzła relay.
Rekomendacje
Organizacje powinny traktować urządzenia brzegowe, routery SOHO, punkty dostępowe i komponenty IoT jako pełnoprawny obszar detekcji i reagowania. Kluczowe działania obejmują:
- priorytetowe zarządzanie poprawkami dla urządzeń Ruckus, ASUS i innych systemów wystawionych do Internetu,
- ograniczenie powierzchni ataku poprzez wyłączenie publicznie dostępnych interfejsów administracyjnych,
- zbieranie logów administracyjnych, zdarzeń uwierzytelniania oraz danych telemetrycznych z urządzeń sieciowych,
- monitorowanie nieautoryzowanych procesów, niestandardowych portów nasłuchujących i zmian w konfiguracji,
- regularną walidację integralności firmware oraz eksportów konfiguracji,
- segmentację sieci i ograniczanie ruchu wychodzącego z urządzeń brzegowych do niezbędnych kierunków,
- threat hunting pod kątem oznak roli relay node, w tym asymetrycznych wzorców transferu i nietypowego tunelowania,
- gotowość do pełnej reinstalacji firmware lub wymiany sprzętu w przypadku podejrzenia kompromitacji.
Podsumowanie
Kampania opisana przez Cisco Talos pokazuje, że zagrożenia wymierzone w routery i urządzenia brzegowe stają się coraz bardziej wyspecjalizowane. LONGLEASH nie jest jedynie kolejnym backdoorem, lecz elementem infrastruktury wspierającej ukryte operacje i rozbudowę sieci ORB.
Rozszerzenie zestawu narzędzi o DOGLEASH, JARLEASH i LEASHTEST wskazuje na dojrzały model operacyjny, w którym przejęte urządzenia pełnią rolę trwałych i elastycznych przekaźników. Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona musi obejmować nie tylko endpointy i serwery, ale również routery, urządzenia IoT i całą infrastrukturę brzegową.
Źródła
- BleepingComputer — Chinese hackers develop LONGLEASH malware to expand ORB network
- Cisco Talos — UAT-7810 continues building ORB networks using new malware
- Google Cloud Blog — IOC Extinction? China-Nexus Cyber Espionage Actors Use ORB Networks to Raise Cost on Defenders
- SecurityScorecard — Checking all the Boxes