UNC3886 : Nouvel acteur de la cyber-espionnage lié à la Chine exploitant les failles Zero-Day de Fortinet et VMware, et utilisant des malwares personnalisés pour l’espionnage à long terme
Table des matières :
Au premier trimestre 2024, les groupes de menace persistante avancée (APT) de Chine, Corée du Nord, Iran et Russie ont démontré des capacités offensives significativement améliorées et innovantes pour mener des campagnes de cyber-espionnage sophistiquées. Cette montée d’activité a posé des défis considérables au paysage mondial de la cybersécurité. Récemment, les experts en sécurité ont révélé l’activité du groupe Velvet Ant lié à la Chine infiltrant les dispositifs F5 BIG-IP pendant environ trois ans pour déployer des malwares et voler des données sensibles. Pourtant, chaque jour, un nouvel APT est sur le radar. Les défenseurs cyber repèrent le nouvel acteur lié à la Chine appelé UNC3886, utilisant un outil malveillant sophistiqué pour orchestrer des opérations de cyber-espionnage à long terme.
Détection des attaques UNC3886
The analyse de UNC3886 par l’équipe Google de Threat Intelligence basée sur la recherche de Mandiant, indique que l’acteur de menace utilise un large éventail d’outils malveillants, y compris les exploits zero-day VMware (CVE-2022-22948, CVE-2023-20867) et Fortinet (CVE-2022-41328), des rootkits disponibles publiquement, des backdoors SHH, des échantillons de malware sur mesure, et plusieurs mécanismes de persistance. Vu la complexité de leur infrastructure malveillante et leur capacité à passer inaperçus durant un espionnage de longue durée, les organisations doivent être équipées d’algorithmes et d’outils de détection pertinents pour identifier et résister proactivement aux intrusions potentielles.
La plate-forme SOC Prime agrège la pile de détection pertinente basée sur les découvertes de recherche de l’équipe Google de Threat Intelligence. Il suffit de cliquer sur le Explorer les Détections bouton ci-dessous et de plonger immédiatement dans la collection de règles, accompagnée de métadonnées étendues, de liens CTI, et de références ATT&CK.
Toutes les détections sont compatibles avec plus de 30 technologies SIEM, EDR et Data Lake et alignées avec le cadre MITRE ATT&CK.
Les défenseurs cyber recherchant une couverture de détection plus large pour mener des enquêtes approfondies sur les menaces peuvent utiliser SOC Prime’s Threat Detection Marketplace (TDM) pour rechercher des règles et des requêtes pertinentes correspondant aux CVE, malware, technique ATT&CK, ou tout autre élément d’intérêt. TDM regroupe plus de 300 000 algorithmes de détection et un contexte pertinent sur toute attaque ou menace cyber, y compris les zero-days, les références CTI et MITRE ATT&CK, et les outils de la Red Team.
Analyse des attaques UNC3886
Les défenseurs ont découvert l’activité de cyber-espionnage à long terme liée au groupe chinois suivi sous le nom UNC3886. Selon la recherche de Mandiant sur les opérations offensives de UNC3886, les schémas de comportement de l’adversaire peuvent être caractérisés comme sophistiqués et évasifs. Les attaquants chinois utilisent une persistance à plusieurs niveaux pour maintenir un accès à long terme aux instances ciblées, s’assurant qu’ils peuvent rester sous le radar même si un niveau est découvert et neutralisé. Le groupe est également connu pour cibler plusieurs organisations mondiales à travers divers secteurs industriels et est considéré comme responsable de l’exploitation des vulnérabilités zero-day dans les dispositifs FortiOS et VMware, y compris CVE-2023-34048, CVE-2022-41328, CVE-2022-22948 et CVE-2023-20867.
Après l’exploitation réussie des vulnérabilités, UNC3886 exploite les rootkits REPTILE et MEDUSA accessibles publiquement pour une persistance à long terme et une évasion de détection. Les attaquants déploient également les malwares MOPSLED et RIFLESPINE, qui s’appuient sur des plateformes tierces de confiance comme GitHub et Google Drive pour le C2. De plus, ils récoltent et abusent de crédences légitimes en utilisant des backdoors SSH pour se déplacer latéralement parmi les machines virtuelles invitées opérant sur VMware ESXi compromis. UNC3886 cherche également à étendre son accès aux dispositifs réseau ciblés en compromettant le serveur TACACS via LOOKOVE. Ce dernier est un renifleur écrit en C qui intercepte les paquets d’authentification TACACS+, les décrypte et sauvegarde les contenus décryptés vers un chemin de fichier désigné.
D’autres échantillons malveillants sur mesure provenant de la boîte à outils de l’adversaire UNC3886 incluent le backdoor VIRTUALSHINE, qui repose sur les sockets VMware VMCI pour faciliter l’accès à un shell bash, VIRTUALPIE, un backdoor basé sur Python pour le transfert de fichiers, l’exécution de commandes arbitraires, et l’établissement de shells inversés, et VIRTUALSPHERE, un module contrôleur lié à un backdoor basé VMCI.
Les défenseurs recommandent que les organisations adhèrent aux lignes directrices de sécurité décrites dans les avis de VMware and Fortinet pour minimiser le risque d’attaques UNC3886 furtives à la sophistication croissante et à l’évasion. Avec la montée des menaces liées aux collectifs de hackers soutenus par la Chine, la mise en place de capacités de défense proactive est impérative pour renforcer la posture de cybersécurité de l’organisation. La suite complète de produits de SOC Prime pour l’Ingénierie de Détection alimentée par l’IA, la Chasse aux Menaces Automatisée et la Validation de la Pile de Détection, équipe les équipes de sécurité avec des capacités de pointe pour identifier et contrer les menaces émergentes avant qu’elles n’évoluent en incidents sophistiqués.
