Fortinet, Ivanti ve VMware cihazlarındaki güvenlik kusurlarının sıfır gün istismarıyla bağlantılı Çin bağlantılı siber casusluk aktörünün, tehlikeye atılmış ortamlara sınırsız erişimi sürdürmek için birden fazla kalıcılık mekanizması kullandığı gözlemlendi.
Mandiant araştırmacıları yeni bir raporda, “Kalıcılık mekanizmaları ağ cihazlarını, hipervizörleri ve sanal makineleri kapsıyor ve birincil katman tespit edilip ortadan kaldırılsa bile alternatif kanalların kullanılabilir kalmasını sağlıyor.” dedi.
Söz konusu tehdit aktörü UNC3886Google’ın sahibi olduğu tehdit istihbaratı şirketi bunu “sofistike, temkinli ve kaçamak” olarak nitelendirdi.
Düşman tarafından düzenlenen saldırılar, CVE-2022-41328 (Fortinet FortiOS), CVE-2022-22948 (VMware vCenter) ve CVE-2023-20867 (VMware Tools) gibi sıfır gün kusurlarından yararlanarak çeşitli kötü amaçlı eylemleri gerçekleştirdi. arka kapıların konuşlandırılmasından daha derin erişim için kimlik bilgilerinin edinilmesine kadar.
Ayrıca ağ güvenlik şirketi tarafından kamuya açıklanmasından kısa bir süre sonra Fortinet FortiGate’i etkileyen bir başka eksiklik olan CVE-2022-42475’in istismar edildiği de gözlemlendi.
Bu izinsiz girişler öncelikle Kuzey Amerika, Güneydoğu Asya ve Okyanusya’daki varlıkları hedef alırken, Avrupa, Afrika ve Asya’nın diğer bölgelerinde de ek kurbanlar tespit edildi. Hedeflenen endüstriler hükümetleri, telekomünikasyon, teknoloji, havacılık ve savunma ile enerji ve kamu hizmetleri sektörlerini kapsamaktadır.
UNC3886’nın cephaneliğindeki dikkate değer bir taktik, güvenlik yazılımından kaçan ve hükümete ve iş ağlarına girmesine ve kurbanlar hakkında tespit edilmeden uzun süre casusluk yapmasına olanak tanıyan teknikler geliştirmesidir.
Bu, Reptile ve Medusa gibi halka açık rootkit’lerin konuk sanal makinelerde (VM’ler) kullanılmasını gerektirir; bunlardan ikincisi SEAELF adlı bir yükleyici bileşeni kullanılarak dağıtılır.
Mandiant, “Yalnızca rootkit işlevleriyle etkileşimli erişim sağlayan REPTILE’ın aksine, MEDUSA, başarılı kimlik doğrulamalarından kullanıcı kimlik bilgilerinin yerel veya uzaktan günlüğe kaydedilmesi ve komut yürütme yetenekleri sergiliyor” dedi. “Bu yetenekler, UNC3886’nın geçerli kimlik bilgilerini kullanarak yanal hareket etme yöntemi olarak avantajlıdır.”
Ayrıca sistemlerde, komut ve kontrol (C2) kanalları olarak GitHub ve Google Drive gibi güvenilir hizmetlerden yararlanan MOPSLED ve RIFLESPINE adlı iki arka kapı da sunuluyor.
Crosswalk kötü amaçlı yazılımının olası bir evrimi olan MOPSLED, GitHub C2 sunucusundan eklentileri almak için HTTP üzerinden iletişim kuran kabuk kodu tabanlı modüler bir implanttır; RIFLESPINE ise dosyaları aktarmak ve komutları yürütmek için Google Drive’ı kullanan çapraz platformlu bir araçtır. .
Mandiant ayrıca UNC3886’nın 2023-20867 istismarından sonra kimlik bilgilerini toplamak için arka kapılı SSH istemcilerini dağıttığını ve aynı amaç için özel SSH sunucuları kurmak için Medusa’dan yararlandığını da tespit ettiğini söyledi.
“Tehdit aktörünün TACACS sunucusunu hedef alarak ağ cihazlarına erişimlerini genişletmeye yönelik ilk girişimi LOOKOVER kullanımıydı” dedi. “LOOKOVER, TACACS+ kimlik doğrulama paketlerini işleyen, şifre çözme işlemini gerçekleştiren ve içeriğini belirtilen dosya yoluna yazan, C dilinde yazılmış bir algılayıcıdır.”
VMware örneklerini hedef alan saldırılar sırasında ortaya çıkan diğer kötü amaçlı yazılım ailelerinden bazıları aşağıdadır:
- Kimlik bilgileri günlüğe kaydetme işlevine sahip meşru bir TACACS arka plan programının truva atı haline getirilmiş sürümü
- VIRTUALSHINE, bash kabuğuna erişim sağlayan VMware VMCI soket tabanlı bir arka kapıdır
- VIRTUALPIE, dosya aktarımını, isteğe bağlı komut yürütmeyi ve ters kabuk yeteneklerini destekleyen bir Python arka kapısı
- VIRTUALSPHERE, VMCI tabanlı arka kapıdan sorumlu bir denetleyici modülü
Yıllar geçtikçe sanal makineler, bulut ortamlarındaki yaygın kullanımları nedeniyle tehdit aktörleri için kazançlı hedefler haline geldi.
Palo Alto Networks Birim 42, “Güvenliği aşılmış bir VM, saldırganlara yalnızca VM örneğindeki verilere değil, aynı zamanda kendisine atanan izinlere de erişim sağlayabilir.” dedi. “VM’ler gibi bilgi işlem iş yükleri genellikle geçici ve değişmez olduğundan, güvenliği ihlal edilmiş bir kimliğin oluşturduğu risk, bir VM içindeki güvenliği ihlal edilmiş verilerden muhtemelen daha fazladır.”
Kuruluşların, potansiyel tehditlere karşı güvenlik sağlamak için Fortinet ve VMware tavsiyelerindeki güvenlik önerilerini takip etmeleri önerilir.