UNC3886: Nuevo Actor de Amenazas de Ciberespionaje Con Nexo en China Explota Zero-Days de Fortinet y VMware, Malware Personalizado para Espionaje a Largo Plazo

En el primer trimestre de 2024, los grupos de Amenaza Persistente Avanzada (APT) de China, Corea del Norte, Irán y Rusia demostraron capacidades ofensivas significativamente mejoradas e innovadoras para avanzar en campañas de ciberespionaje sofisticadas. Este aumento de actividad ha planteado desafíos considerables para el panorama de ciberseguridad global. Recientemente, expertos en seguridad revelaron la actividad del grupo Velvet Ant vinculado a China infiltrando dispositivos F5 BIG-IP durante aproximadamente tres años para desplegar malware y robar datos sensibles. Sin embargo, un nuevo día, un nuevo APT está en el radar. Defensores cibernéticos detectan al nuevo actor vinculado a China conocido como UNC3886, que confía en un sofisticado conjunto de herramientas maliciosas para orquestar operaciones de ciberespionaje a largo plazo.

Detección de ataques UNC3886

The análisis de UNC3886 por el equipo de inteligencia de amenazas de Google basado en investigaciones de Mandiant indica que el actor de la amenaza utiliza un amplio conjunto de herramientas maliciosas, incluyendo los exploits de día cero de VMware (CVE-2022-22948, CVE-2023-20867) y Fortinet (CVE-2022-41328), rootkits de acceso público, puertas traseras SSH, muestras de malware personalizado y múltiples mecanismos de persistencia. Dada la complejidad de su infraestructura maliciosa y su capacidad para pasar desapercibidos durante espionajes prolongados, las organizaciones deben estar equipadas con algoritmos y herramientas de detección relevantes para identificar proactivamente y resistir intrusiones potenciales.

La Plataforma SOC Prime agrega la pila de detección relevante basada en los hallazgos de investigación del equipo de inteligencia de amenazas de Google. Simplemente presiona el botón Explorar Detecciones a continuación e inmediatamente profundiza en la colección de reglas, acompañada de amplia metadata, enlaces de CTI y referencias ATT&CK.

Explorar Detecciones

Todas las detecciones son compatibles con más de 30 tecnologías SIEM, EDR y Data Lake y están alineadas con el marco MITRE ATT&CK.

Los defensores cibernéticos que buscan una cobertura de detección más amplia para proceder con una investigación de amenazas en profundidad pueden usar SOC Prime’s Threat Detection Marketplace (TDM) para buscar reglas y consultas relevantes que coincidan con el CVE, malware, técnica ATT&CK o cualquier otro elemento de interés. TDM agrega más de 300,000 algoritmos de detección y contexto relevante sobre cualquier ataque o amenaza cibernética, incluyendo días cero, referencias de CTI y MITRE ATT&CK, y herramientas de Red Team.

Análisis de Ataques UNC3886

Los defensores han descubierto la actividad de ciberespionaje a largo plazo vinculada al grupo chino rastreado como UNC3886. Según la investigación de Mandiant sobre las operaciones ofensivas de UNC3886, los patrones de comportamiento del adversario del grupo se pueden caracterizar como sofisticados y evasivos. Los atacantes chinos aprovechan la persistencia de múltiples capas para mantener el acceso a largo plazo a las instancias objetivo, asegurando que puedan permanecer bajo el radar incluso si una capa es descubierta y neutralizada. También se sabe que el grupo apunta a múltiples organizaciones globales en diversos sectores industriales y se cree que está detrás de la explotación de vulnerabilidades de día cero en dispositivos FortiOS y VMware, incluyendo CVE-2023-34048, CVE-2022-41328, CVE-2022-22948 y CVE-2023-20867.

Tras la explotación exitosa de vulnerabilidades, UNC3886 aprovecha los rootkits de acceso público REPTILE y MEDUSA para mantener la persistencia a largo plazo y evadir la detección. Los atacantes también despliegan el malware MOPSLED y RIFLESPINE, que confía en plataformas de terceros de confianza como GitHub y Google Drive para C2. Además, recogen y abusan de credenciales legítimas utilizando puertas traseras SSH para moverse lateralmente entre máquinas virtuales invitadas que operan en ESXi de VMware comprometidos. UNC3886 también intenta extender su acceso a los dispositivos de red objetivo comprometiendo el servidor TACACS a través de LOOKOVE. Este último es un sniffer escrito en C que intercepta paquetes de autenticación TACACS+, los descifra y guarda los contenidos descifrados en una ruta de archivo designada.

Otras muestras maliciosas personalizadas del kit de herramientas del adversario UNC3886 incluyen la puerta trasera VIRTUALSHINE, que usa los sockets VMware VMCI para facilitar el acceso a una shell bash, VIRTUALPIE, una puerta trasera basada en Python para transferencias de archivos, ejecutar comandos arbitrarios y establecer shells reversos, y VIRTUALSPHERE, un módulo controlador vinculado a una puerta trasera basada en VMCI.

Los defensores recomiendan que las organizaciones se adhieran a las pautas de seguridad descritas en los avisos de VMware and Fortinet para minimizar el riesgo de ataques furtivos de UNC3886 de creciente sofisticación y evasión. Con las amenazas crecientes vinculadas a los colectivos de piratería respaldados por China, implementar capacidades de defensa proactiva es imperativo para fortalecer la postura de ciberseguridad de la organización. El conjunto de productos completo de SOC Prime para Detección Ingenieril impulsada por IA, Caza de Amenazas Automática y Validación de Pila de Detección equipa a los equipos de seguridad con capacidades de vanguardia para identificar y frustrar amenazas emergentes antes de que evolucionen hacia incidentes sofisticados.