İki yıl önce ESXi hipervizörlerini hedef alan bir kötü amaçlı yazılım kampanyasını gün yüzüne çıkardıktan sonra araştırmacılar, stratejik küresel organizasyonları hedef alan Çin bağlantılı olduğundan şüphelenilen bir siber casusluk grubu olan UNC3886 hakkındaki araştırmalarına ilişkin kapsamlı ayrıntıları ortaya çıkardı.
Ocak 2023’te Google’ın sahibi olduğu siber güvenlik firması Mandiant, UNC3886’nın artık yamalı bir FortiOS güvenlik açığından yararlandığını tespit etti. Mart 2023’te yapılan daha ayrıntılı analizler, konuk sanal makinelere erişimi kolaylaştıran, risk altındaki VMware teknolojileriyle Fortinet cihazlarını etkileyen özel bir kötü amaçlı yazılım ekosistemini ortaya çıkardı.
UNC3886 Grubunun Kalıcı ve Kaçınma Teknikleri
Mandiant, ayrıntılı analizinde, UNC3886’nın uzun vadeli erişimi sürdürmek için ağ cihazları, hipervizörler ve sanal makineler arasında çok sayıda kalıcılık katmanı kullanarak karmaşık ve ihtiyatlı yaklaşımlar sergilediğini söyledi. Tehdit grubunun stratejileri şunları içerir:
- Uzun vadeli kalıcılık için REPTILE ve MEDUSA gibi halka açık rootkit’lerin kullanılması.
- Komuta ve kontrol (C2) iletişimleri için güvenilir üçüncü taraf hizmetlerinden yararlanan kötü amaçlı yazılımların dağıtılması.
- Erişimi engellemek ve kimlik bilgilerini toplamak için Secure Shell (SSH) arka kapılarının kurulması.
- Özel kötü amaçlı yazılım kullanarak TACACS+ kimlik doğrulamasından kimlik bilgilerinin çıkarılması.
Sıfır Günler Boyunca İlk Erişim
Mandiant’ın daha önceki bulguları, UNC3886’nın, VMware’in vCenter Sunucusunda DCERPC protokolünün uygulanmasında sınır dışı bir yazma güvenlik açığı olan CVE-2023-34048’den yararlanmasını ayrıntılı olarak açıklıyordu. Bu kritik dereceli kusur, vCenter sunucularında kimlik doğrulaması yapılmadan kötü amaçlı aktörlerin uzaktan komut çalıştırılmasına izin verdi.
İstismar edilen diğer sıfır gün güvenlik açıkları arasında şunlar yer almaktadır:
- CVE-2022-41328 FortiGate cihazlarında arka kapıları çalıştırmak için FortiOS’ta.
CVE-2022-22948 vCenter’ın postgres veritabanındaki şifrelenmiş kimlik bilgilerine erişmek için VMware vCenter’da.
CVE-2023-20867 ESXi ana bilgisayarından sanal makinelere doğrulanmamış konuk işlemleri için VMware Tools’da.
Rootkit’ler ve Kötü Amaçlı Yazılımlar
UNC3886’nın operasyonlarına ilişkin daha derin araştırmalar, özelleştirilmiş açık kaynak varyantlarını da içeren geniş kötü amaçlı yazılım cephaneliğini de ortaya çıkardı.
SÜRÜNGEN Rootkit
Açık kaynaklı bir Linux rootkit olan REPTILE, UNC3886 tarafından arka kapı ve gizlilik işlevleri için yoğun bir şekilde kullanıldı ve tehdit aktörünün güvenliği ihlal edilmiş sistemlere tespit edilmeden erişimi sürdürmesini sağladı. Anahtar bileşenler şunları içerir:
- REPTILE.CMD: Dosyaları, işlemleri ve ağ bağlantılarını gizlemeye yönelik bir kullanıcı modu bileşeni.
REPTILE.SHELL: Belirli ağ paketleri tarafından etkinleştirilen ters kabuk arka kapısı.
Çekirdek Düzeyinde Bileşen: Rootkit işlevselliğini elde etmek için yüklenebilir bir çekirdek modülü (LKM).
LKM Başlatıcısı: Çekirdek modülünü belleğe yüklemek için özel bir başlatıcı.
UNC3886, tespitten kaçınmak için benzersiz anahtar kelimeler ve özelleştirilmiş komut dosyaları kullanarak kalıcılık ve gizlilik için REPTILE’ı değiştirdi.
MEDUSA Rootkit’i
MEDUSA, UNC3886’nın yanal hareket için geçerli kimlik bilgileri kullanma stratejisini tamamlayan, kullanıcı kimlik bilgilerini ve komut yürütmelerini günlüğe kaydetmek için dinamik bağlayıcı ele geçirme özelliğini kullanır. MEDUSA’ya dağıtım, “SEAELF” adı verilen özelleştirilmiş bir yükleyiciyi ve değiştirilmiş yapılandırma dosyalarını içeriyordu.
Güvenilir Üçüncü Taraf Hizmetlerinden Yararlanan Kötü Amaçlı Yazılım
MOPSLED HTTP veya özel bir ikili protokol üzerinden iletişim kurarak C2 sunucusundan eklentileri alan modüler bir arka kapıdır. Çinli siber casusluk grupları arasında paylaşıldı ve UNC3886 tarafından öncelikle vCenter sunucularında kullanıldı.
Tüfek omurgası Komuta ve kontrol iletişimi için Google Drive’ı kullanan ve şifrelenmiş dosyalardan komutları yürüten bir arka kapıdır. Kalıcılık için “systemd”ye güveniyordu ancak tespit edilebilir yapısı nedeniyle daha az tercih ediliyordu.
Ağ Keşfi ve Yanal Hareket
UNC3886, TACACS+ kimlik bilgilerini yakalamak için LOOKOVER gibi özel araçları kullanarak dahili keşif ve yanal hareket tekniklerini kullandı. Arka kapılı TACACS+ ikili dosyaları, yetkisiz erişimi ve kimlik bilgilerinin günlüğe kaydedilmesini daha da kolaylaştırdı.
VMCI Arka Kapıları
UNC3886 ayrıca konuk ve ana bilgisayar sistemleri arasındaki iletişim için VMCI arka kapılarını kullanarak, tehlikeye atılmış ortamlar üzerindeki kontrollerini artırdı. Önemli VMCI arka kapıları şunları içeriyordu:
- SANALPARLAMA: VMCI yuvaları aracılığıyla bir bash kabuğuna erişim sağlandı.
SANAL PATA: Dosya aktarımını, komut yürütmeyi ve ters kabuk özelliklerini destekleyen Python tabanlı bir arka kapı.
Mandiant, UNC3886’nın, güvenliği ihlal edilmiş VMware ESXi üzerindeki konuk VM’ler arasında yanal hareket için geçerli kimlik bilgilerini kullandığını gözlemledi. Tehdit aktörü, XOR şifreli dosyalarda saklanan kimlik bilgilerini ele geçirmek ve toplamak için arka kapılı SSH istemcileri ve arka plan programları kullandı.
Arka Kapılı SSH Çalıştırılabilirleri
Tehdit grubu, kimlik bilgilerini toplamak ve depolamak için SSH istemcisini (/usr/bin/ssh) ve arka plan programını (/usr/sbin/sshd) değiştirdi. SSH istemcisi kimlik bilgilerini “/var/log/ldapd
Tehdit aktörü, kötü amaçlı SSH bileşenlerini sürdürmek amacıyla OpenSSH paketi yükseltmelerini engellemek için yum-versionlock’u kullandı.
Özel SSH Sunucusu
UNC3886 ayrıca özel bir SSH sunucusunu dağıtmak için MEDUSA rootkit’ini kullandı. SSH bağlantılarını ele geçirmek ve kimlik bilgileri toplamak için bunları bir Unix soketine yönlendirmek için yürütülebilir dosyalar (/usr/sbin/libvird ve /usr/bin/NetworkManage) kullandılar. SELinux bağlamları soket erişilebilirliğini sağladı.
Benzer enjeksiyon ve yönlendirme işlemleri için başka bir uç noktada ek araçlar (sentry ve sshdng-venter-7.0) kullanıldı.
Uzlaşma Göstergeleri (IOC’ler)
Mandiant, UNC3886 aktivitelerinin tespit edilmesine yardımcı olmak için IOC’ler yayınladı. Bu IOC’ler, tespit ve sağlamlaştırma yönergeleriyle birlikte kuruluşların UNC3886’nın oluşturduğu karmaşık tehditlere karşı korunmasına yardımcı olur.