China-Linked UAT-7810 Expands ORB Network With New LONGLEASH Malware
Die chinesische Hackergruppe UAT-7810 erweitert ihr LapDogs ORB-Netzwerk durch Angriffe auf internetfähige Netzwerkgeräte. Sie nutzen dafür die neue LONGLEASH Malware. Betroffen sind Unternehmen und Organisationen mit exponierten Geräten, die umgehend ihre Systeme auf Schwachstellen prüfen und absichern sollten.
Die chinesische Hackergruppe UAT-7810 erweitert ihr LapDogs ORB-Netzwerk. Sie setzt dafür die neue LONGLEASH Malware ein, um internetfähige Netzwerkgeräte anzugreifen. Betroffene Organisationen sollten umgehend ihre Systeme auf Schwachstellen prüfen und absichern.
Unternehmen und Organisationen mit exponierten, internetfähigen Netzwerkgeräten.
Die Gruppe UAT-7810 nutzt neue Malware (LONGLEASH), um Netzwerkgeräte zu kompromittieren, was zu unbefugtem Zugriff und potenzieller Datenexfiltration führen kann.
Unbefugter Zugriff auf interne Netzwerke über kompromittierte Netzwerkgeräte, was zur Datenexfiltration oder weiteren Kompromittierung der Infrastruktur führen kann.
Überprüfung und Absicherung aller internetfähigen Netzwerkgeräte auf Schwachstellen und unbefugten Zugriff.
- ▸Überprüfen Sie alle internetfähigen Netzwerkgeräte auf bekannte Schwachstellen und stellen Sie sicher, dass die neuesten Sicherheitspatches installiert sind.
- ▸Überwachen Sie den Netzwerkverkehr von und zu internetfähigen Netzwerkgeräten auf ungewöhnliche Aktivitäten oder Verbindungen.
- ▸Führen Sie regelmäßige Audits der Konfigurationen von Netzwerkgeräten durch, um unbefugte Änderungen oder offene Ports zu identifizieren.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1190 Exploit Public-Facing Application | High | Angriffe auf internetfähige Netzwerkgeräte |
| Persistence | T1543.003 Create or Modify System Process: Windows Service | Low | neue LONGLEASH Malware |
- Spezifische Schwachstellen oder CVEs, die von UAT-7810 ausgenutzt werden.
- Details zur Funktionsweise der LONGLEASH Malware, abgesehen von der Kompromittierung von Netzwerkgeräten.
- Die genaue Art der Datenexfiltration oder der weiteren Kompromittierung nach dem initialen Zugriff.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir Cisco extern erreichbar?
- Können wir Resource Development detektieren?