UNC3886 olarak takip edilen şüpheli bir Çinli tehdit aktörü, VMware ESXi sanal makinelerinde gizli kalmak için ‘Reptile’ ve ‘Medusa’ adlı halka açık açık kaynak rootkit’leri kullanıyor ve bu sayede kimlik bilgileri hırsızlığı, komut yürütme ve yanal hareket gerçekleştirebiliyor.
Mandiant, tehdit aktörünü uzun süredir takip ediyor ve daha önce Fortinet’in bir sıfır gün ve iki VMware sıfır gün güvenlik açığından yararlanarak uzun süre boyunca yararlanılan devlet kuruluşlarına yönelik saldırıları bildirmişti.
Mandiant tarafından hazırlanan yeni bir rapor, UNC3886’nın söz konusu rootkit’leri sanal makinelerde uzun vadeli kalıcılık ve kaçırma amacıyla kullandığının yanı sıra, komuta ve kontrol için GitHub ve Google Drive’dan yararlanan ‘Mopsled’ ve ‘Riflespine’ gibi özel kötü amaçlı yazılım araçlarını ortaya koyuyor.
Mandiant’a göre UNC3886’nın en son saldırıları Kuzey Amerika, Güneydoğu Asya ve Okyanusya’daki kuruluşları hedef alırken, Avrupa, Afrika ve Asya’nın diğer bölgelerinde de başka kurbanlar tespit edildi.
Hedeflenen endüstriler arasında hükümetler, telekomünikasyon, teknoloji, havacılık, savunma ve enerji ve kamu hizmetleri sektörleri yer alıyordu.
VMware ESXi VM’lerinin rootkitlenmesi
Mandiant, tehdit aktörlerinin VMware ESXi sanal makinelerini ihlal ettiğini ve uzun vadeli operasyonlar için erişimi sürdürmek amacıyla açık kaynaklı rootkit’ler yüklediğini söylüyor.
Rootkit, tehdit aktörlerinin programları çalıştırmasına ve işletim sistemindeki kullanıcılar tarafından görüntülenemeyen değişiklikler yapmasına olanak tanıyan kötü amaçlı bir yazılımdır. Bu tür kötü amaçlı yazılımlar, tehdit aktörlerinin kötü niyetli davranışlarda bulunurken varlıklarını gizlemelerine olanak tanır.
Mandiant, “Aktör, vCenter sunucularına ve ardından yönetilen ESXi sunucularına erişim sağlamak için sıfır gün güvenlik açıklarından yararlandıktan sonra, vCenter sunucusuyla aynı ESXi sunucusunu paylaşan konuk sanal makinelerin tam kontrolünü ele geçirdi” diye açıkladı.
“Mandiant, aktörün erişimi sürdürmek ve tespitten kaçınmak için konuk sanal makinelerde halka açık iki rootkit olan REPTILE ve MEDUSA’yı kullandığını gözlemledi.
Reptile, arka kapı erişimi sağlamak ve gizli kalıcılığı kolaylaştırmak için tasarlanmış, yüklenebilir bir çekirdek modülü (LKM) olarak uygulanan açık kaynaklı bir Linux rootkit’tir.
Reptile’ın ana bileşenleri şunlardır:
- Dosyaları, işlemleri ve ağ bağlantılarını gizlemek için çekirdek modu bileşeniyle iletişim kuran bir kullanıcı modu bileşeni (REPTILE.CMD).
- Uzaktan komut yürütülmesi için gizli bir kanal sağlayan, TCP, UDP veya ICMP yoluyla etkinleştirme paketlerini dinleyecek şekilde yapılandırılabilen bir ters kabuk bileşeni (REPTILE.SHELL).
- Kullanıcı modu bileşeni tarafından görevlendirilen eylemleri gerçekleştirmek için çekirdek işlevlerine bağlanan çekirdek düzeyinde bir bileşen.
Mandiant şöyle devam etti: “REPTILE, UNC3886 tarafından, tehlikeye atılmış uç noktalara erişim kazandıktan hemen sonra konuşlandırıldığı gözlemlendiğinden, tercih edilen rootkit gibi göründü.”
“REPTILE, hem komut yürütme ve dosya aktarma yetenekleri gibi ortak arka kapı işlevlerinin yanı sıra, tehdit aktörünün bağlantı noktası çalma yoluyla virüslü uç noktalara kaçamak bir şekilde erişmesini ve kontrol etmesini sağlayan gizli işlevsellik sunuyor.”
UNC3886, rootkit’i farklı dağıtımlar için benzersiz anahtar kelimeler kullanacak şekilde değiştirerek kaçmaya yardımcı oldu ve ayrıca rootkit’in başlatıcısında ve başlangıç komut dosyalarında kalıcılığı ve gizliliği artırmayı amaçlayan değişiklikler yaptı.
Tehdit aktörünün saldırılarda kullandığı ikinci açık kaynaklı rootkit, ‘LD_PRELOAD’ aracılığıyla dinamik bağlayıcı ele geçirmesiyle bilinen Medusa’dır.
Medusa’nın işlevsel odak noktası, başarılı yerel ve uzaktan oturum açma işlemlerinden hesap parolalarını yakalayan kimlik bilgilerinin günlüğe kaydedilmesidir. Aynı zamanda komut yürütme günlüğünü de gerçekleştirerek saldırganlara kurbanın faaliyetleri hakkında bilgi sağlar ve tehlikeye atılan ortam hakkında bilgi sağlar.
Mandiant, Medusa’nın genellikle Reptile’dan sonra ‘Seaelf’ adlı ayrı bir bileşen kullanılarak tamamlayıcı bir araç olarak kullanıldığını söylüyor.
UNC3886’nın belirli filtreleri kapatması ve yapılandırma dizelerini değiştirmesiyle Medusa’da da bazı özelleştirmeler gözlemlendi.
Özel kötü amaçlı yazılım
UNC3886’nın operasyonlarında, bazıları ilk kez sunulan bir dizi özel kötü amaçlı yazılım aracını kullandığı da gözlemlendi.
Listelenen saldırı araçlarının en önemlileri şunlardır:
- Mopsled – Eklentileri almak ve yürütmek için tasarlanmış, yeteneklerini dinamik olarak genişletmesine olanak tanıyan Shellcode tabanlı modüler arka kapı. VCenter sunucularında ve Reptile’ın yanı sıra ihlal edilen diğer uç noktalarda da görülüyor.
- Tüfek omurgası – Komuta ve kontrol için Google Drive’dan yararlanan platformlar arası arka kapı (C2). Kalıcılık için bir systemd hizmeti kullanır, sistem bilgilerini toplar ve C2’den alınan komutları yürütür.
- Gözden geçir – Kimlik doğrulama paketlerini işleyerek, şifrelerini çözerek ve içeriklerini günlüğe kaydederek TACACS+ kimlik bilgilerini yakalamak için özel algılayıcı. TACACS+ sunucularına konuşlandırılarak saldırganların ağ erişim erişim alanlarını genişletmelerine yardımcı olur.
- Arka kapılı SSH yöneticileri – UNC3886, kimlik bilgilerini yakalamak ve bunları XOR şifreli günlük dosyalarında depolamak için SSH istemcilerinin ve arka plan programlarının değiştirilmiş sürümlerini kullandı. Saldırganlar, güncellemelerin üzerine yazılmasını önlemek için ‘yum-versionlock’u kullanıyor.
- VMCI arka kapıları – Konuk ve ana bilgisayar sanal makineleri arasındaki iletişimi kolaylaştırmak için Sanal Makine İletişim Arayüzünü (VMCI) kullanan arka kapı ailesi. ‘VirtualShine’ (VMCI yuvaları aracılığıyla bash kabuk erişimi), ‘VirtualPie’ (dosya aktarımı, komut yürütme, ters kabuk) ve ‘VirtualSphere’i (komutları ileten denetleyici) içerir.
Mandiant, gelecekteki bir gönderide bu VMCI arka kapıları hakkında daha fazla teknik ayrıntı yayınlamayı planlıyor.
UNC3886 etkinliğini tespit etmeye yönelik güvenlik ihlali göstergelerini ve YARA kurallarını içeren tam liste, Mandiant’ın raporunun altındadır.