Er is waargenomen dat de Chinese cyberspionage-acteur die verband houdt met de zero-day-exploitatie van beveiligingsfouten in Fortinet-, Ivanti- en VMware-apparaten meerdere persistentiemechanismen gebruikt om onbelemmerde toegang tot gecompromitteerde omgevingen te behouden.
“Persistentiemechanismen omvatten netwerkapparaten, hypervisors en virtuele machines, waardoor alternatieve kanalen beschikbaar blijven, zelfs als de primaire laag wordt gedetecteerd en geëlimineerd”, aldus Mandiant-onderzoekers in een nieuw rapport.
De dreigingsacteur in kwestie is UNC3886dat het dreigingsinformatiebedrijf van Google bestempelde als 'geavanceerd, voorzichtig en ontwijkend'.
Aanvallen georkestreerd door de tegenstander hebben gebruik gemaakt van zero-day-fouten zoals CVE-2022-41328 (Fortinet FortiOS), CVE-2022-22948 (VMware vCenter) en CVE-2023-20867 (VMware Tools) om verschillende kwaadaardige acties uit te voeren, variërend van het inzetten van achterdeurtjes tot het verkrijgen van inloggegevens voor diepere toegang.
Er is ook waargenomen dat er misbruik wordt gemaakt van CVE-2022-42475, een andere tekortkoming die gevolgen heeft voor Fortinet FortiGate, kort na de openbaarmaking ervan door het netwerkbeveiligingsbedrijf.
Deze indringers hebben vooral entiteiten in Noord-Amerika, Zuidoost-Azië en Oceanië uitgekozen, terwijl extra slachtoffers zijn geïdentificeerd in Europa, Afrika en andere delen van Azië. Doelsectoren omvatten overheden, telecommunicatie, technologie, lucht- en ruimtevaart en defensie, en energie- en nutssectoren.
Een opmerkelijke tactiek in het arsenaal van UNC3886 is dat het technieken ontwikkelde die beveiligingssoftware omzeilen en deze in staat stellen zich in overheids- en bedrijfsnetwerken te nestelen en slachtoffers gedurende langere tijd te bespioneren zonder detectie.
Dit omvat het gebruik van openbaar beschikbare rootkits zoals Reptile en Medusa op virtuele gastmachines (VM's), waarvan de laatste wordt geïmplementeerd met behulp van een installatiecomponent genaamd SEAELF.
“In tegenstelling tot REPTILE, dat alleen interactieve toegang biedt met rootkit-functionaliteiten, biedt MEDUSA mogelijkheden voor het loggen van gebruikersgegevens van succesvolle authenticaties, lokaal of op afstand, en voor het uitvoeren van opdrachten”, merkte Mandiant op. “Deze mogelijkheden zijn voordelig voor UNC3886 als hun modus operandi om lateraal te bewegen met behulp van geldige inloggegevens.”
Ook op de systemen zijn twee backdoors aanwezig, genaamd MOPSLED en RIFLESPINE, die profiteren van vertrouwde services zoals GitHub en Google Drive als command-and-control (C2) kanalen.
MOPSLED, een waarschijnlijke evolutie van de Crosswalk-malware, is een op shellcode gebaseerd modulair implantaat dat via HTTP communiceert om plug-ins op te halen van een GitHub C2-server, terwijl RIFLESPINE een platformonafhankelijke tool is die gebruik maakt van Google Drive om bestanden over te dragen en opdrachten uit te voeren. .
Mandiant zei dat het ook UNC3886 zag die backdoored SSH-clients inzet om inloggegevens te verzamelen na de exploitatie van 2023-20867, en Medusa gebruikt om aangepaste SSH-servers voor hetzelfde doel op te zetten.
“De eerste poging van de bedreigingsactoren om hun toegang tot de netwerkapparatuur uit te breiden door zich te richten op de TACACS-server was het gebruik van LOOKOVER”, aldus het rapport. “LOOKOVER is een sniffer geschreven in C die TACACS+ authenticatiepakketten verwerkt, decodering uitvoert en de inhoud ervan naar een gespecificeerd bestandspad schrijft.”
Enkele van de andere malwarefamilies die tijdens aanvallen op VMware-instanties zijn geleverd, staan hieronder:
- Een getrojaniseerde versie van een legitieme TACACS-daemon met functionaliteit voor het loggen van inloggegevens
- VIRTUALSHINE, een op VMware VMCI-sockets gebaseerde achterdeur die toegang biedt tot een bash-shell
- VIRTUALPIE, een Python-achterdeur die bestandsoverdracht, willekeurige opdrachtuitvoering en reverse shell-mogelijkheden ondersteunt
- VIRTUALSPHERE, een controllermodule geassocieerd met een op VMCI gebaseerde achterdeur
Door het wijdverbreide gebruik in cloudomgevingen zijn virtuele machines door de jaren heen lucratieve doelwitten geworden voor bedreigingsactoren.
“Een gecompromitteerde VM kan aanvallers niet alleen toegang geven tot de gegevens binnen de VM-instantie, maar ook tot de rechten die eraan zijn toegewezen”, aldus Palo Alto Networks Unit 42. “Aangezien computerworkloads zoals VM's over het algemeen kortstondig en onveranderlijk zijn, is het risico van een gecompromitteerde identiteit aantoonbaar groter dan dat van gecompromitteerde gegevens binnen een VM.”
Organisaties wordt geadviseerd de beveiligingsaanbevelingen in de Fortinet- en VMware-adviezen op te volgen om zich te beschermen tegen mogelijke bedreigingen.
