Singapur’un kritik altyapısı, sofistike Çin bağlantılı gelişmiş kalıcı tehdit (APT) grubu olan UNC3886’dan kuşatma altında.
2025 Temmuz itibariyle grup, enerji, su, telekomünikasyon ve hükümet sistemleri gibi temel hizmetleri aktif olarak hedef alarak yetkililerden acil uyarılar getiriyor.
Bu sadece başka bir hack değil, yaygın olarak kullanılan ağ ve sanallaştırma teknolojilerindeki sıfır gün güvenlik açıklarından yararlanan hesaplanmış bir saldırıdır ve küresel sektörlerde alarmlar yükseltir.
İlk olarak 2022’de rapor edilen ancak en azından 2021’in sonlarından beri aktif olan UNC3886, ABD, Avrupa, Asya ve şimdi göze çarpan Singapur’daki savunma, teknoloji, telekomünikasyon ve kamu hizmetlerinde yüksek değerli hedeflere odaklanmaktadır.
Singapur’un Ulusal Güvenlik Koordinasyon Bakanı K. Shanmugam, 18 Temmuz 2025’te grubun ulusal güvenliğe “ciddi bir risk” oluşturduğunu ve başarılı olursa potansiyel olarak yaygın kesintilere neden olduğunu açıkladı. Singapur Siber Güvenlik Ajansı (CSA), tüm kritik sektörleri izlerken operasyonel gizlilik ihtiyacını vurgulayarak araştırıyor.
UNC3886 0 günlerden yararlanıyor
UNC3886’yı bu kadar tehlikeli yapan nedir? Onların oyun kitabı, VMware VCenter/ESXI, Fortinet Fortios ve Juniper Junos OS gibi cihazlarda sıfır günlerin hızlı bir şekilde kullanılması etrafında dönüyor.
Gizli kalıcılık için özel kötü amaçlı yazılımlar dağıtarak, algılamadan kaçmak için arazi taktiklerini ileri rootkitlerle harmanlarlar. Anahtar araçlar şunları içerir:
- Tinyshell: Sıkıştırma sonrası çeviklik için ideal olan şifreli HTTP/HTTPS üzerinden uzaktan komut yürütme için hafif python tabanlı bir arka kapı.
- Sürüngen: Gizli arka kapı erişimi ve kök privileged komut yürütme için bağlantı noktasını içeren dosyaları, işlemleri ve ağ etkinliğini gizleyen çekirdek düzeyinde bir Linux rootkit.
- Medusa: Başka bir Linux rootkit, kimlik bilgisi günlüğü, süreç gizleme ve anti-tahsis etme, genellikle kimlik doğrulamalarını yakalamak ve gizli kontrolü korumak için sürüngen ile eşleştirildi.
Bu araçlar katmanlı kaçırma sağlıyor: Sürüngen önce çekirdek gizli için yükleyebilir, ardından kimlik bilgisi hasat için Medusa. UNC3886 ayrıca modüler backdoors için MOSSLED, Google Drive tabanlı C2 için riflespine ve Fortigate güvenlik duvarlarında pasif ICMP tarafından tetiklenen erişim için Castletap’ı kullanıyor.
Taktikleri, kamuya açık istismarlar (T1190) yoluyla ilk erişimden geçerli hesaplarla (T1078) kalıcılığa ve rootkits yoluyla savunma kaçakçılığına (T1014) kadar olan ATT & CK kategorilerini kapsamaktadır. Dikkate değer CVES şunları içerir:
| CVE kimliği | Etkilenen sistem | Güvenlik Açığı Açıklaması | Darbe |
|---|---|---|---|
| CVE-2023-34048 | Vmware vCenter sunucusu | Bounds dışı DCerpc protokolü uygulamasına güvenlik açığı yazarak potansiyel olarak uzaktan kod yürütülmesine yol açar. | Savunmasız vCenter sunucularında yetkili olmayan uzaktan komut yürütme sağlar. |
| CVE-2022-41328 | Fortinet Fortios | Yol geçiş güvenlik açığı, ayrıcalıklı saldırganların hazırlanmış CLI komutları aracılığıyla dosyaları okumasına/yazmasına izin verir. | Fortigate cihazlarından backdoors’u indirmek ve yürütmek için kullanılmıştır. |
| CVE-2022-22948 | Vmware vCenter sunucusu | Hassas verilere erişim sağlayan uygunsuz dosya izinleri nedeniyle bilgi açıklaması. | Daha fazla erişim için vCenter’ın PostgresDB’sinden şifreli kimlik bilgileri elde etmek için kullanılır. |
| CVE-2023-20867 | VM yazılım araçları | Konuk VM gizliliğini ve bütünlüğünü etkileyen ana bilgisayardan guest operasyonlarının kimlik doğrulamaması. | ESXI Host’dan konuk sanal makinelere doğru kimlik doğrulanmamış konuk işlemlerine izin verir. |
| CVE-2022-42475 | Fortinet (belirtilmemiş) | Güvenlik açığı, uzaktan kalmamış saldırganların hazırlanmış taleplerle keyfi kod veya komutlar yürütmesine izin veren güvenlik açığı. | Etkilenen sistemlerde uzaktan kod yürütülmesini sağlar. |
| CVE-2025-21590 | Juniper Networks Junos OS | Kimlik doğrulanmış yerel kullanıcıların kötü amaçlı kod eklemesine izin veren çekirdekte yetersiz sistem ayrımı. | Kabuk seviyesi erişim elde edilirse tam sistem uzlaşmasına yol açabilir; Junos OS platformları ile sınırlı. |
Ardıç saldırılarında, UNC3886, yaşam sonu yönlendiricilerini hedefledi, Pithook ve Ghosttown gibi rootkitleri devre dışı bırakmak ve dağıtmak için kötü amaçlı yazılımları meşru süreçlere enjekte etti. Bu, sağlam izlemeden yoksun gözlemlenen kenar cihazlarına vurma stratejileriyle uyumludur.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi