Çinli Hackerlar Casusluk İçin Açık Kaynak Rootkit’leri Kullandı

Mandiant’ın UNC3886 olarak takip ettiği bilgisayar korsanlığı grubu muhtemelen Pekin için bilgisayar korsanlığı yapan Çinli bir tehdit grubudur. Tehdit istihbaratı şirketi daha önce UNC3886’nın uç nokta algılama desteği olmayan güvenlik duvarı ve sanallaştırma uygulamalarından ödün verdiğini gözlemlemişti.

Salı günü grubun faaliyetlerini ayrıntılarıyla anlatan bir blog yazısında Mandiant, tehdit grubunun 2022 ve 2023’teki operasyonlarının bir parçası olarak uç cihazlarda kalıcılığı sürdürmek için açık kaynaklı rootkit’leri verimli bir şekilde kullandığını açıkladı.

Mandiant, “Kalıcılık mekanizmaları ağ cihazlarını, hipervizörleri ve sanal makineleri kapsıyor ve birincil katman tespit edilip ortadan kaldırılsa bile alternatif kanalların kullanılabilir kalmasını sağlıyor.” dedi.

Saldırganlar, CVE-2023-34048 olarak izlenen VMware vCenter’da sıfır gün kimlik doğrulamasız uzaktan komut yürütme işleminden yararlandı. Tehdit grubunun VMware sunucularına ilk erişimi elde edememesi durumunda saldırganlar FortiOS’taki benzer kusurları, VMware vCenter’da postgresDB adı verilen bir kusuru veya bir VMware Tools kusurunu hedef aldı.

Uç cihazların riske atılmasının ardından grubun yöntemi, cihazda barındırılan sanal makineleri hedeflemek için açık kaynaklı Linux rootkit Reptile’ı dağıtmak oldu. Güvenli kabuk kimlik bilgilerini yakalamak için dört rootkit bileşeni kullanır.

Bunlar şunları içerir: Reptile.CMD dosyaları, işlemleri ve ağ bağlantılarını gizlemek için; Reptile.Shell özel paketleri dinlemek için – değiştirmek için çekirdek düzeyinde bir dosya .CMD rootkit işlevselliğini elde etmek için dosya; ve gerçek modülün şifresini çözmek ve belleğe yüklemek için yüklenebilir bir çekirdek dosyası.

Mandiant, “Reptile’ın UNC3886 tarafından tercih edilen rootkit olduğu ortaya çıktı çünkü güvenliği ihlal edilmiş uç noktalara erişim kazandıktan hemen sonra konuşlandırıldığı gözlemlendi.” dedi. “Reptile, hem ortak arka kapı işlevselliğini hem de tehdit aktörünün, bağlantı noktası çalma yoluyla virüslü uç noktalara kaçamak bir şekilde erişmesini ve kontrol etmesini sağlayan gizli işlevsellik sunuyor.”

Grup, yanal hareket yeteneklerine ilişkin kimlik bilgilerini çalmak için Repite’a ek olarak açık kaynaklı Medusa ve Seaelf rootkit’lerini de kullandı. Raporda “Mandiant, Medusa’nın Repitele’ın deneysel alternatifi olarak kullanımını değerlendirdi” diyor.

Kurbanın ortamına girdikten sonra grup, komuta ve kontrol altyapısı olarak GitHub ve Google Drive gibi güvenilir üçüncü tarafları kullanan Mopsled ve Riflespine kötü amaçlı yazılım türlerini dağıttı. Türlerin sızdığı veriler, daha sonra C2 sunucularına gönderilen sistem bilgilerini içeriyordu.

Grup, kurbanın SSH arka plan programından kimlik bilgilerini toplamak için şifre doğrulama ve entegrasyon işlevlerini bozdu.

Hedeflenen cihaza bağlı olarak grup, taktiklerini daha da özelleştirdi. Mandiant, ESXi sunucuları söz konusu olduğunda grubun ya dağıtıldığını söylüyor vpxuser vCenter’daki ana bilgisayarın etkinliklerini yönetmek için kullanılan veya XOR şifreli bir metin dosyasındaki kimlik bilgilerini ele geçirmek ve toplamak için CVE-2023-20867’den yararlanılan kimlik bilgileri.

Tehdit grubu, ele geçirilen ESXi sunucularına uzun süreli erişime sahip olmaya devam etmelerini sağlamak amacıyla paket yükseltmelerinden sağ çıkabilmek için “yum-versionlock” adı verilen kötü amaçlı bir paket dağıttı.

Grup, kullanıcıların kimliğini doğrulamak için kullanılan bir ağ cihazı olan TACACS+’tan kimlik bilgilerini çıkarmak için, tehdit aktörlerinin kullanıcı kimlik bilgilerini değiştirmesine ve yazılım içinde depolanan muhasebe günlüklerine müdahale etmesine olanak tanıyan Lookover adı verilen özel bir kötü amaçlı yazılım çeşidi kullandı.

Grup tarafından istismar edilen sıfır günlerin birçoğuna yama uygulanmış olsa da Mandiant, grubun benzer taktikler kullanarak uç cihazları hedeflemeye devam ettiğini söylüyor (bkz: Eyalet Bilgisayar Korsanlarının Yeni Sınırı: Ağ Uç Cihazları).