UNC3886: Nuevo Actor de Amenazas de Ciberespionaje Con Nexo en China Explota Zero-Days de Fortinet y VMware, Malware Personalizado para Espionaje a Largo Plazo
Tabla de contenidos:
En el primer trimestre de 2024, los grupos de Amenaza Persistente Avanzada (APT) de China, Corea del Norte, Irán y Rusia demostraron capacidades ofensivas significativamente mejoradas e innovadoras para avanzar en campañas de ciberespionaje sofisticadas. Este aumento de actividad ha planteado desafĂos considerables para el panorama de ciberseguridad global. Recientemente, expertos en seguridad revelaron la actividad del grupo Velvet Ant vinculado a China infiltrando dispositivos F5 BIG-IP durante aproximadamente tres años para desplegar malware y robar datos sensibles. Sin embargo, un nuevo dĂa, un nuevo APT está en el radar. Defensores cibernĂ©ticos detectan al nuevo actor vinculado a China conocido como UNC3886, que confĂa en un sofisticado conjunto de herramientas maliciosas para orquestar operaciones de ciberespionaje a largo plazo.
DetecciĂłn de ataques UNC3886
The análisis de UNC3886 por el equipo de inteligencia de amenazas de Google basado en investigaciones de Mandiant indica que el actor de la amenaza utiliza un amplio conjunto de herramientas maliciosas, incluyendo los exploits de dĂa cero de VMware (CVE-2022-22948, CVE-2023-20867) y Fortinet (CVE-2022-41328), rootkits de acceso pĂşblico, puertas traseras SSH, muestras de malware personalizado y mĂşltiples mecanismos de persistencia. Dada la complejidad de su infraestructura maliciosa y su capacidad para pasar desapercibidos durante espionajes prolongados, las organizaciones deben estar equipadas con algoritmos y herramientas de detecciĂłn relevantes para identificar proactivamente y resistir intrusiones potenciales.
La Plataforma SOC Prime agrega la pila de detección relevante basada en los hallazgos de investigación del equipo de inteligencia de amenazas de Google. Simplemente presiona el botón Explorar Detecciones a continuación e inmediatamente profundiza en la colección de reglas, acompañada de amplia metadata, enlaces de CTI y referencias ATT&CK.
Todas las detecciones son compatibles con más de 30 tecnologĂas SIEM, EDR y Data Lake y están alineadas con el marco MITRE ATT&CK.
Los defensores cibernĂ©ticos que buscan una cobertura de detecciĂłn más amplia para proceder con una investigaciĂłn de amenazas en profundidad pueden usar SOC Prime’s Threat Detection Marketplace (TDM) para buscar reglas y consultas relevantes que coincidan con el CVE, malware, tĂ©cnica ATT&CK o cualquier otro elemento de interĂ©s. TDM agrega más de 300,000 algoritmos de detecciĂłn y contexto relevante sobre cualquier ataque o amenaza cibernĂ©tica, incluyendo dĂas cero, referencias de CTI y MITRE ATT&CK, y herramientas de Red Team.
Análisis de Ataques UNC3886
Los defensores han descubierto la actividad de ciberespionaje a largo plazo vinculada al grupo chino rastreado como UNC3886. SegĂşn la investigaciĂłn de Mandiant sobre las operaciones ofensivas de UNC3886, los patrones de comportamiento del adversario del grupo se pueden caracterizar como sofisticados y evasivos. Los atacantes chinos aprovechan la persistencia de mĂşltiples capas para mantener el acceso a largo plazo a las instancias objetivo, asegurando que puedan permanecer bajo el radar incluso si una capa es descubierta y neutralizada. TambiĂ©n se sabe que el grupo apunta a mĂşltiples organizaciones globales en diversos sectores industriales y se cree que está detrás de la explotaciĂłn de vulnerabilidades de dĂa cero en dispositivos FortiOS y VMware, incluyendo CVE-2023-34048, CVE-2022-41328, CVE-2022-22948 y CVE-2023-20867.
Tras la explotaciĂłn exitosa de vulnerabilidades, UNC3886 aprovecha los rootkits de acceso pĂşblico REPTILE y MEDUSA para mantener la persistencia a largo plazo y evadir la detecciĂłn. Los atacantes tambiĂ©n despliegan el malware MOPSLED y RIFLESPINE, que confĂa en plataformas de terceros de confianza como GitHub y Google Drive para C2. Además, recogen y abusan de credenciales legĂtimas utilizando puertas traseras SSH para moverse lateralmente entre máquinas virtuales invitadas que operan en ESXi de VMware comprometidos. UNC3886 tambiĂ©n intenta extender su acceso a los dispositivos de red objetivo comprometiendo el servidor TACACS a travĂ©s de LOOKOVE. Este Ăşltimo es un sniffer escrito en C que intercepta paquetes de autenticaciĂłn TACACS+, los descifra y guarda los contenidos descifrados en una ruta de archivo designada.
Otras muestras maliciosas personalizadas del kit de herramientas del adversario UNC3886 incluyen la puerta trasera VIRTUALSHINE, que usa los sockets VMware VMCI para facilitar el acceso a una shell bash, VIRTUALPIE, una puerta trasera basada en Python para transferencias de archivos, ejecutar comandos arbitrarios y establecer shells reversos, y VIRTUALSPHERE, un mĂłdulo controlador vinculado a una puerta trasera basada en VMCI.
Los defensores recomiendan que las organizaciones se adhieran a las pautas de seguridad descritas en los avisos de VMware and Fortinet para minimizar el riesgo de ataques furtivos de UNC3886 de creciente sofisticaciĂłn y evasiĂłn. Con las amenazas crecientes vinculadas a los colectivos de piraterĂa respaldados por China, implementar capacidades de defensa proactiva es imperativo para fortalecer la postura de ciberseguridad de la organizaciĂłn. El conjunto de productos completo de SOC Prime para DetecciĂłn Ingenieril impulsada por IA, Caza de Amenazas Automática y ValidaciĂłn de Pila de DetecciĂłn equipa a los equipos de seguridad con capacidades de vanguardia para identificar y frustrar amenazas emergentes antes de que evolucionen hacia incidentes sofisticados.
