UNC3886: Novel China-Nexus Cyber-Espionage Threat Actor Exploits Fortinet & VMware Zero-Days, Custom Malware for Long-Term Spying

2024年第1四半期、中国、北朝鮮、イラン、ロシアのアドバンスト・パーシステント・スレット（APT）グループは、大規模なサイバー諜報キャンペーンを進めるために、著しく強化され革新的な攻撃能力を示しました。この活動の急増は、世界のサイバーセキュリティ状況に相当の課題をもたらしています。最近、セキュリティ専門家は 中国との関連があるVelvet Antグループの活動を明らかにしました。 が、約3年にわたりF5 BIG-IPデバイスに侵入し、マルウェアを展開し機密データを盗んでいました。しかし、新たなAPTがレーダーに登場しています。サイバー防御者は、UNC3886として知られる新たな中国系アクターが、複雑な悪意のあるツールキットを使用して長期的なサイバー諜報作戦を組織しているのを発見しました。

UNC3886攻撃の検出

The Googleの脅威インテリジェンスチームによるUNC3886の 分析は、脅威アクターがVMware（CVE-2022-22948, CVE-2023-20867）およびFortinet（CVE-2022-41328）のゼロデイエクスプロイト、公開されているルートキット、SSHバックドア、カスタムマルウェアサンプル、複数の持続メカニズムを含む広範囲の悪意のあるツールキットを利用していることを示しています。その悪意あるインフラストラクチャの複雑性と長期の諜報行為中にレーダーをくぐり抜ける能力を考えると、組織は関連する検出アルゴリズムとツールを備え、潜在的な侵入を積極的に特定し耐えるべきです。

SOC Primeプラットフォームは、Googleの脅威インテリジェンスチームの研究結果に基づいて関連する検出スタックを集約しています。ただ下記の 検出の探索 ボタンをクリックすると、豊富なメタデータ、CTIリンク、ATT&CK参照と共にルールコレクションにすぐに掘り下げられます。

検出の探索

すべての検出は30以上のSIEM、EDR、およびデータレイク技術と互換性があり、MITRE ATT&CKフレームワークに整合しています。

より広範囲の検出カバレッジを探し、詳細な脅威調査を続行するサイバー防御者は SOC Primeの脅威検出マーケットプレイス（TDM） を使用して、CVE、マルウェア、ATT&CK技術、その他の興味のある項目に一致する関連ルールやクエリを検索できます。TDMは、ゼロデイ、CTI、MITRE ATT&CK参照、およびレッドチームツールを含むあらゆるサイバー攻撃または脅威に関する30万以上の検出アルゴリズムや関連コンテキストを集約しています。

UNC3886攻撃分析

防御者は、UNC3886として追跡されている中国グループにリンクされた長期のサイバー諜報活動を明らかにしました。 によるUNC3886攻撃作戦の マカフィーの研究では、グループの敵対的行動パターンは高度であり回避性があると特徴付けられます。中国の攻撃者は、複数層の持続性を活用して、ターゲットインスタンスへの長期的なアクセスを維持し、一層が発見され無効化されてもレーダーの下に留まれるようにしています。このグループは多様な産業部門の複数の世界的な組織を標的にすることでも知られ、FortiOSおよびVMwareデバイスのゼロデイ脆弱性のエクスプロイトの背後にいると考えられています。

脆弱性のエクスプロイトに成功すると、UNC3886は長期の持続性と検出回避のために公開されているREPTILEおよびMEDUSAルートキットを利用します。攻撃者はまた、信頼されたサードパーティプラットフォームであるGitHubやGoogle DriveをC2に使用するMOPSLEDおよびRIFLESPINEマルウェアを展開します。さらに、侵入の横移動を促進するために、SSHバックドアを使用して正当な資格情報を収集し悪用します。UNC3886はまた、TACACSサーバーをLOOKOVEによって侵害し、ターゲットネットワークデバイスへのアクセスを拡張しようとします。LOOKOVEとは、TACACS+認証パケットを傍受し、それらを復号化して指定されたファイルパスに保存するCで書かれたスニファーです。

UNC3886の敵対者ツールキットからのその他のカスタム悪意のあるサンプルには、VMware VMCIソケットを利用してbashシェルへのアクセスを促進するVIRTUALSHINEバックドア、ファイル転送、任意のコマンドの実行、逆シェルの開設を行うPythonベースのバックドアであるVIRTUALPIE、VMCIベースのバックドアにリンクするコントローラーモジュールであるVIRTUALSPHEREが含まれます。

防御者は組織が VMware and と の勧告に従い、ステルス性の高いUNC3886攻撃のリスクを最小限に抑えることを推奨しています。中国系ハッキング集団に関連する脅威が増大する中、積極的な防御機能の実装が、組織のサイバーセキュリティ態勢を強化するために欠かせません。SOC Primeの 完全な製品スイート はAIを活用した検出エンジニアリング、自動化脅威ハンティングおよび検出スタック検証を通じて、セキュリティチームに新たに出現する脅威を特定し阻止するための最先端の能力を装備します。