Singapur’un enerji, su, telekomünikasyon, finans ve devlet hizmetleri de dahil olmak üzere kritik altyapı sektörleri, sıfır-gün istismarları ve özel kötü amaçlı eşyalardan yararlanmak için tanınan sofistike bir Çin bağlantılı gelişmiş ısrarlı tehdit (APT) grubu olan UNC3886’dan aktif bir siber saldırı ile karşı karşıya.
İlk olarak Mantiant tarafından 2022’de tanımlanan UNC3886, en az 2021’den beri faaliyet göstermektedir ve teyit edilen faaliyetler Fortios, VMware ve ESXI hipervizörlerindeki güvenlik açıklarından yararlanmaktadır.
Çin siber-ihale operasyonları ile ilişkili bu devlet destekli aktör, arazi yaşamı yöntemleri, SSH kimlik bilgisi hasadı ve komut ve kontrol (C2) iletişimi için GitHub gibi platformlar aracılığıyla arka planlar gibi gizli kalıcılık tekniklerini kullanır.
Arsenalleri, genellikle CVE-2023-34048 ve CVE-2022-41328 gibi sıfır günler aracılığıyla ilk erişimden sonra Fortinet, VM yazılımı ve junquer saptanışlarında ilk erişimden sonra konuşlandırılan Mopsled, Riflespine, sürüngen, Tinyshell, Virtualshine, VirtualPie, Castletap ve Lookover gibi ısmarlama kötü amaçlı yazılım varyantlarını içerir.
Artan siber casusluk tehdidi
Çin’e atıf, Çinli yetkililer tarafından itiraz edilmesine rağmen, grubun savunma, telekomlar, finans ve operasyonel teknoloji (OT)/BT sistemlerindeki stratejik hedeflere odaklanmasını vurgulayarak Maniant istihbarat tarafından destekleniyor.
Devam eden bu kampanyada, UNC3886, günlüğe kaydetme, adli eserlerle uğraşma ve ağ ve sanallaştırma altyapısında derin kalıcılık elde etmek, savunucular için özellikle zorlayıcı hale getirme gibi gelişmiş taktikleri gösterir.
Grubun modus operandi, yüksek düzeyde teknik sofistike olmanın altını çizerek, sıfır gün sömürüyü uzun vadeli erişimi sağlayan kontrat sonrası faaliyetlerle entegre ediyor.
Örneğin, takılmamış güvenlik açıkları yoluyla giriş kazandıktan sonra, UNC3886 aktörler genellikle kimlik temelli kalıcılığa döner, TACACS+ kullanımını izler ve segmentli ortamlar boyunca yanal olarak hareket etmek için SSH tuşlarını hasat eder.
Bu yaklaşım sadece geleneksel uç nokta tespitinden kaçınmakla kalmaz, aynı zamanda hipervizörleri ve kenar yönlendiricilerini de hedefler ve potansiyel olarak altyapı operasyonları için kritik kritik olan sanallaştırılmış iş yükleri üzerinde kontrol sağlar.
Analistler, UNC3886’nın faaliyetlerinin, diğer bölgelerdeki benzer sektörleri hedefleme geçmişleriyle kanıtlandığı gibi, yıkıcı senaryolara hazırlanırken istihbarat için daha geniş casusluk hedefleriyle uyumlu olduğunu belirtiyor.
Potansiyel etkiler
Singapur için potansiyel sonuçlar şiddetlidir ve su temini başarısızlıklarına yol açan elektrik kesintileri, sağlık hizmeti sunumunda kesintiler, finansal sistemlerin bozulması ve havaalanlarında ve acil servislerde operasyonel duruşlar da dahil olmak üzere basamaklı aksamalar riskleri ile şiddetlidir.
Bu tür etkiler, özellikle grubun OT/BT yakınsama noktalarına odaklanması göz önüne alındığında, yaygın ekonomik zarar, itibar hasarı ve tehlikeye atılmış ulusal güvenlik ile sonuçlanabilir.
Yanıt olarak, acil sertleştirme önlemleri esastır: kuruluşlar, etkilenen Fortinet, VMware ve ardıç cihazlarına en son yamaları uygulamalı, kullanımdan kaldırılmış donanımı izole etmeli ve GitHub veya Google Drive’a günlük kurcalama ve anormal C2 trafiği için gelişmiş izleme uygulamalıdır.
Kimlik bilgisi hijyeni, SSH ve Yönetici kimlik bilgilerinin düzenli olarak rotasyonunu, çok faktörlü kimlik doğrulamanın (MFA) uygulanmasını ve cihaz erişiminde güçlü kimlik doğrulamasını içeren çok önemlidir.
Adli tıp hazırlığı, çevrimdışı ürün yazılımı yedeklemelerinin korunmasını, rootkitler için bütünlük taramalarının yapılması ve UNC3886 uzlaşma (IOC’ler) ve taktikler, teknikler ve prosedürlerin (TTP’ler), ATT & CK gibi algılama çerçevelerine entegre edilmesini içerir.
Sektör çapında esnekliği artırmak için uzmanlar, kolektif tehdit istihbarat paylaşımı, ağ anormallikleri için toplum odaklı tespit kuralları ve çok alanlı APT saldırılarını simüle eden sektörler arası egzersizleri önermektedir.
CSA ve Mindef gibi ajansları içeren masa üstü egzersizleri yoluyla yönetişimin yanı sıra, hızlandırılmış yama zaman çizelgeleri ve ortak yanıt protokolleri için satıcılarla işbirliği, kriz artışını ve iyileşmesini artıracaktır.
Bu tehdit geliştikçe, ileriye dönük stratejiler çok katmanlı görünürlüğü, ağlar, ana bilgisayarlar ve uygulamalar arasında anomali tespitini ve OT sistemlerinin düzenli kırmızı takımını vurgular.
Risk seviyesi 4 (önemli etki, acil), Reuters, Asiaone, Google, Socprime ve ETDA dahil olmak üzere birçok kaynaktan güvenilirlik ve 3’lük bir aciliyet derecesi (şiddetle tavsiye edilir), paydaşların bilgi paylaşımına girmeleri ve özel destek için OT-ISAC gibi bedenlerden yardım almaları istenir.
TLP: Clear uyarınca dağıtılan bu uyarı, UNC3886’nın ortaya koyduğu sofistike casusluğu ve potansiyel kesintileri azaltmak için koordineli eylem çağrısı görevi görür.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!