UNC3886: Novo Ameaçador Cibernético de Espionagem da China Explora Zero-Days da Fortinet e VMware, Malware Personalizado para Espionagem de Longo Prazo
Índice:
No primeiro trimestre de 2024, grupos de Ameaça Persistente Avançada (APT) da China, Coreia do Norte, Irã e Rússia demonstraram capacidades ofensivas significativamente aprimoradas e inovadoras para prosseguir com campanhas sofisticadas de ciberespionagem. Este aumento de atividade tem representado desafios consideráveis para o cenário global de cibersegurança. Recentemente, especialistas em segurança revelaram a atividade do grupo Velvet Ant ligado à China infiltrando dispositivos F5 BIG-IP por cerca de três anos para implantar malware e roubar dados sensíveis. No entanto, novo dia, nova APT está no radar. Defensores cibernéticos identificam o novo ator de conexão com a China conhecido como UNC3886, confiando em um sofisticado kit de ferramentas malicioso para orquestrar operações de ciberespionagem de longo prazo.
Detectando Ataques UNC3886
The análise do UNC3886 pela Equipe de Inteligência de Ameaças do Google com base na pesquisa da Mandiant indica que o ator da ameaça utiliza um amplo kit de ferramentas malicioso, incluindo os exploits de zero-day do VMware (CVE-2022-22948, CVE-2023-20867) e Fortinet (CVE-2022-41328), rootkits disponíveis publicamente, backdoors SHH, amostras de malware personalizadas e múltiplos mecanismos persistentes. Vendo a complexidade da infraestrutura maliciosa e a capacidade de permanecer fora do radar durante espionagem de longa duração, as organizações devem estar equipadas com algoritmos e ferramentas de detecção relevantes para identificar proativamente e resistir a potenciais intrusões.
A plataforma SOC Prime agrega a pilha de detecção relevante com base nas descobertas da Equipe de Inteligência de Ameaças do Google. Basta pressionar o Explorar Detecções botão abaixo e imediatamente aprofundar na coleção de regras, acompanhada por metadados extensos, links CTI e referências ATT&CK.
Todas as detecções são compatíveis com 30+ tecnologias SIEM, EDR e Data Lake e alinhadas com o framework MITRE ATT&CK.
Defensores cibernéticos em busca de cobertura de detecção mais ampla para proceder com investigações de ameaças em profundidade podem usar o SOC Prime’s Threat Detection Marketplace (TDM) para buscar regras e consultas relevantes que correspondam ao CVE, malware, técnica ATT&CK ou qualquer outro item de interesse. O TDM agrega mais de 300.000 algoritmos de detecção e contexto relevante sobre qualquer ataque ou ameaça cibernética, incluindo zero-days, CTI e referências MITRE ATT&CK, e ferramentas de Red Team.
Análise de Ataque UNC3886
Defensores descobriram a atividade de ciberespionagem de longo prazo ligada ao grupo chinês rastreado como UNC3886. De acordo com a pesquisa da Mandiant sobre as operações ofensivas da UNC3886, os padrões de comportamento adversário do grupo podem ser caracterizados como sofisticados e evasivos. Atacantes chineses aproveitam a persistência de múltiplas camadas para manter o acesso de longo prazo às instâncias-alvo, garantindo que possam permanecer fora do radar mesmo que uma camada seja descoberta e neutralizada. O grupo também é conhecido por visar múltiplas organizações globais em diversos setores industriais e acredita-se estar por trás da exploração de vulnerabilidades zero-day nos dispositivos FortiOS e VMware, incluindo CVE-2023-34048, CVE-2022-41328, CVE-2022-22948 e CVE-2023-20867.
Após a exploração bem-sucedida das vulnerabilidades, a UNC3886 aproveita os rootkits REPTILE e MEDUSA, acessíveis publicamente, para garantir persistência de longo prazo e evasão de detecção. Os atacantes também implantam malwares MOPSLED e RIFLESPINE, que dependem de plataformas terceirizadas confiáveis, como GitHub e Google Drive para C2. Além disso, colhem e abusam de credenciais legítimas usando backdoors SSH para mover-se lateralmente entre máquinas virtuais convidadas operando no VMware ESXi comprometido. UNC3886 também tenta estender seu acesso aos dispositivos de rede alvo comprometendo o servidor TACACS via LOOKOVE. Este último é um sniffer escrito em C que intercepta pacotes de autenticação TACACS+, descriptografa-os e salva o conteúdo descriptografado em um caminho de arquivo designado.
Outras amostras maliciosas personalizadas do kit de ferramentas adversário UNC3886 incluem o backdoor VIRTUALSHINE, que utiliza sockets VMware VMCI para facilitar o acesso a um shell bash, VIRTUALPIE, um backdoor baseado em Python para transferências de arquivos, execução de comandos arbitrários e estabelecimento de shells reversos, e o VIRTUALSPHERE, um módulo controlador vinculado a um backdoor baseado em VMCI.
Os defensores recomendam que as organizações sigam as diretrizes de segurança descritas nos avisos da VMware and Fortinet para minimizar o risco de ataques furtivos da UNC3886 de sofisticação e evasão crescentes. Com as ameaças crescentes ligadas aos coletivos de hackers apoiados pela China, a implementação de capacidades de defesa proativas é imperativa para fortalecer a postura de cibersegurança da organização. O conjunto completo de produtos de SOC Prime para Engenharia de Detecção alimentada por IA, Caça a Ameaças Automatizada & Validação da Pilha de Detecção equipa as equipes de segurança com capacidades de ponta para identificar e frustrar ameaças emergentes antes que evoluam para incidentes sofisticados.
