UNC3886: Neuer China-naher Cyber-Spionage-Akteur nutzt Fortinet- & VMware-Zero-Days, individuelle Malware für langfristige Spionage aus
Inhaltsverzeichnis:
Im ersten Quartal 2024 zeigten Advanced Persistent Threat (APT)-Gruppen aus China, Nordkorea, Iran und Russland erheblich verbesserte und innovative offensive Fähigkeiten, um mit anspruchsvollen Cyber-Spionage-Kampagnen fortzufahren. Dieser Anstieg an Aktivitäten hat der globalen Cybersicherheitslandschaft erhebliche Herausforderungen bereitet. Kürzlich enthüllten Sicherheitsexperten die Aktivität der China-verbundenen Gruppe Velvet Ant die seit etwa drei Jahren F5 BIG-IP-Geräte infiltriert, um Malware einzusetzen und sensible Daten zu stehlen. Doch ein neuer Tag, eine neue APT ist auf dem Radar. Cyber-Verteidiger entdecken den neuartigen China-nexus-Akteur, bekannt als UNC3886, der auf ein ausgeklügeltes schädliches Toolkit setzt, um langfristige Cyber-Spionage-Aktivitäten zu orchestrieren.
Erkennung von UNC3886-Angriffen
The Analyse von UNC3886 durch das Threat Intelligence Team von Google basierend auf Mandiant-Forschung weist darauf hin, dass der Bedrohungsakteur ein umfangreiches bösartiges Toolkit nutzt, einschließlich der VMware (CVE-2022-22948, CVE-2023-20867) und Fortinet (CVE-2022-41328) Zero-Day-Exploits, öffentlich zugänglichen Rootkits, SHH-Hintertüren, benutzerdefinierten Malware-Beispielen und mehreren persistenten Mechanismen. Angesichts der Komplexität ihrer bösartigen Infrastruktur und ihrer Fähigkeit, während langandauernder Spionage unentdeckt zu bleiben, sollten Organisationen mit relevanten Erkennungsalgorithmen und -tools ausgestattet sein, um potenziellen Eindringlingen proaktiv entgegenzuwirken und sie zu widerstehen.
Die SOC Prime Plattform aggregiert den relevanten Erkennungsstapel basierend auf den Forschungsergebnissen des Threat Intelligence Teams von Google. Klicken Sie einfach auf den Erkennnungen erkunden Button unten und tauchen Sie sofort in die Regelkollektion ein, die von umfangreichen Metadaten, CTI-Links und ATT&CK-Referenzen begleitet wird.
Alle Erkennungen sind mit über 30 SIEM-, EDR- und Data Lake-Technologien kompatibel und mit dem MITRE ATT&CK-Framework abgestimmt.
Cyber-Verteidiger, die nach einer breiteren Abdeckung der Erkennung suchen, um eine gründliche Bedrohungsermittlung durchführen zu können, können SOC Prime’s Threat Detection Marketplace (TDM) verwenden, um nach relevanten Regeln und Abfragen zu suchen, die mit CVE, Malware, ATT&CK-Techniken oder jedem anderen Interessenelement übereinstimmen. Der TDM aggregiert über 300.000 Erkennungsalgorithmen und relevanten Kontext zu jedem Cyberangriff oder jeder Bedrohung, einschließlich Zero-Days, CTI- und MITRE ATT&CK-Referenzen und Red Team-Werkzeugen.
Analyse des UNC3886-Angriffs
Verteidiger haben die langfristige Cyber-Spionage-Aktivität enttarnt, die mit der chinesischen Gruppe in Verbindung steht, die als UNC3886 verfolgt wird. Laut Forschung von Mandiant zu den offensiven Operationen von UNC3886 können die Verhaltensmuster der Gruppe als anspruchsvoll und ausweichend charakterisiert werden. Chinesische Angreifer nutzen Mehrschicht-Persistenz, um langfristigen Zugang zu den anvisierten Instanzen zu behalten und sicherzustellen, dass sie auch dann unter dem Radar bleiben können, wenn eine Schicht entdeckt und neutralisiert wird. Die Gruppe ist auch bekannt dafür, mehrere globale Organisationen in verschiedenen Industriesektoren anzugreifen und soll hinter der Ausnutzung von Zero-Day-Schwachstellen in FortiOS und VMware-Geräten stehen, einschließlich CVE-2023-34048, CVE-2022-41328, CVE-2022-22948 und CVE-2023-20867.
Nach erfolgreicher Ausnutzung von Schwachstellen nutzt UNC3886 die öffentlich zugänglichen Rootkits REPTILE und MEDUSA für langfristige Persistenz und Erkennungsevasion. Angreifer setzen auch MOPSLED und RIFLESPINE-Malware ein, die sich auf vertrauenswürdige Drittplattformen wie GitHub und Google Drive für C2 verlassen. Darüber hinaus sammeln und missbrauchen sie legitime Anmeldedaten über SSH-Hintertüren, um lateral zwischen virtuellen Maschinen auf kompromittierten VMware ESXi zu migrieren. UNC3886 versucht auch, seinen Zugang zu Netzwerkgeräten der Zielorganisation durch das Kompromittieren des TACACS-Servers über LOOKOVE zu erweitern. Letzteres ist ein in C geschriebener Sniffer, der TACACS+ Authentifizierungspakete abfängt, entschlüsselt und die entschlüsselten Inhalte in einem bestimmten Dateipfad speichert.
Andere benutzerdefinierte bösartige Beispiele aus dem UNC3886-Akteur-Toolkit sind die VIRTUALSHINE-Hintertür, die sich auf VMware VMCI-Sockets stützt, um den Zugriff auf eine Bash-Shell zu ermöglichen, VIRTUALPIE, eine Python-basierte Hintertür für Dateiübertragungen, das Ausführen beliebiger Befehle und das Einrichten von Reverse Shells, und VIRTUALSPHERE, ein Controller-Modul, das mit einer VMCI-basierten Hintertür verbunden ist.
Verteidiger empfehlen, dass Organisationen die Sicherheitsrichtlinien befolgen, die in den VMware and Fortinet Hinweisen aufgeführt sind, um das Risiko von verdeckten UNC3886-Angriffen zu minimieren, die zunehmend anspruchsvoll und ausweichend werden. Angesichts der eskalierenden Bedrohungen durch hackerkollektiven mit Unterstützung aus China ist die Implementierung proaktiver Verteidigungsfähigkeiten unerlässlich, um die Cybersicherheitslage der Organisation zu stärken. Das vollständige Produktsortiment von SOC Prime für AI-gestützte Detection Engineering, Automatisierte Bedrohungssuche und Validation des Erkennungsstapels rüstet Sicherheitsteams mit fortschrittlichen Fähigkeiten aus, um aufkommende Bedrohungen zu identifizieren und zu vereiteln, bevor sie sich zu komplexen Vorfällen entwickeln.
