Singapur’un kritik altyapısı, ülkenin enerjisini, su, telekomünikasyonunu, finans ve hükümet sektörlerini sistematik olarak hedefleyen sofistike Çin devlet bağlantılı ileri süren tehdit (APT) grubu olan UNC3886’dan artan bir siber tehditle karşı karşıya.
İlk olarak 2021 dolaylarında ortaya çıkan ve 2022’de Mantiant tarafından resmen tanımlanan grup, son yıllarda sıfır gün istismarları ve özel olarak geliştirilmiş kötü amaçlı yazılım aileleri cephaneliği ile ayırt edilen teknik olarak en gelişmiş casusluk operasyonlarından birini temsil etmektedir.
Tehdit oyuncusu, özellikle Fortinet, VMware ve Juniper Network cihazlarını hedefleyen, kurumsal sınıf altyapısında daha önce bilinmeyen güvenlik açıklarından yararlanmada olağanüstü bir yetenek göstermiştir.
UNC3886’nın saldırı metodolojisi, yamalar mevcut olmadan önce grubun Forios sistemlerini ve VMware ESXI hipervisorlarını tehlikeye atmasına izin veren CVE-2023-34048 ve CVE-2022-41328 gibi sıfır gün istismarlarından yararlanmaya odaklanmaktadır.
Güvenlik açığı sömürüsüne yönelik bu stratejik yaklaşım, grubun uzun süreler boyunca tespit edilmemiş kalırken kritik sistemlere kalıcı erişimi sürdürmesini sağlamıştır.
OTISAC analistleri, UNC3886’nın operasyonlarını, grubun kapsamlı bir özel kötü amaçlı yazılım ekosistemini konuşlandırması nedeniyle özellikle ilgili olarak tanımladılar.
Tehdit oyuncusu, her biri tehlikeye atılan ortamlar içindeki belirli operasyonel hedefler için tasarlanmış MOSSLED, Tiflespine, Sürüngen, Tinyshell varyantları, Tinyshine, Castletap ve Lookover dahil olmak üzere en az sekiz farklı kötü amaçlı yazılım ailesini korur.
Basamaklı etki senaryoları, su arıtma tesislerini etkileyen güç ızgarası arızalarından sağlık sistemi kesintilerine ve finans sektörü bozulmasına kadar değişen potansiyel kesintilerle önemli ulusal güvenlik sonuçları sunmaktadır.
Singapur’un kritik altyapısının birbirine bağlı doğası, tek bir uzlaşmanın aynı anda birden fazla sektörde yaygın operasyonel başarısızlıkları tetikleyebileceği bu riskleri artırır.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
UNC3886’nın teknik karmaşıklığı, kalıcılık mekanizmalarında ve tespit kaçınma stratejilerinde en belirgin hale gelir.
Grup, SSH kimlik doğrulama sistemlerini hedefleyen sofistike kimlik bilgisi hasat işlemleri ile birleştirilmiş karadan geçme tekniklerini kullanır.
Onların yaklaşımı, komut ve kontrol işlemleri için Google Drive ve GitHub depoları da dahil olmak üzere görünüşte meşru platformlar aracılığıyla arka kapı iletişimleri kurarak ağ altyapısına derin entegrasyon içerir.
Kötü amaçlı yazılım aileleri, günlüğe giriş mekanizmalarını sistematik olarak devre dışı bırakarak ve olay müdahalesi çabalarını engellemek için adli artefaktlarla kurcalanan gelişmiş anti-forensik yetenekler gösterir. Birincil rootkitlerinden biri olan sürüngen, uzaktan erişim özellikleri sağlarken gizliliği korumak için çekirdek seviyesinde çalışır.
Grubun TinyShell varyantları, şifreli kanallar üzerinden gizli kabuk erişimini sağlarken, VirtualShine özellikle sistem yeniden başlatmaları ve güncellemeleri boyunca kalıcılığı korumak için sanallaştırma altyapısını hedefler.
SSH kimlik bilgisi hasat işlemleri, TACACS+ sistemlerinden kimlik doğrulama kimlik bilgilerinin durdurulmasını ve depolanmasını ve segmentli ağlarda yanal hareketin sağlanmasını içerir.
Bu teknik, UNC3886’nın kritik altyapı bileşenlerini kontrol eden, tespit ve iyileştirmeyi özellikle savunucular için zorlaştıran ayrıcalıkları artırmasına ve erişime duyarlı operasyonel teknoloji sistemlerine erişmesine izin verir.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi