Gelişmiş kalıcı tehdit grubu UNC3886, VMware VCenter, ESXI hipervizörleri ve Fortinet Fortios sistemleri de dahil olmak üzere kritik altyapı platformlarında birden fazla sıfır günlük güvenlik açıklarından yararlanarak sofistike siber casusluk kampanyasını artırdı.
Bu vahiy, Singapur’un Ulusal Güvenlik Koordinasyon Bakanı, ulusun temel hizmetleri hedefleyen son derece sofistike bir tehdit aktörüyle karşı karşıya kaldığını ve UNC388’in telekomünikasyon, hükümet, teknoloji ve savunma sektörlerinde ulusal güvenlik için ciddi bir riski temsil ettiğini doğruladı.
Yaygın altyapı hedefleme kampanyası
UNC3886, ağ ve sanallaştırma cihazlarındaki sıfır gün ve yüksek etkili güvenlik açıklarını hızla sömürmede olağanüstü bir yetenek göstermiştir.
Grubun kritik altyapı sistemlerine stratejik odaklanması, hedef ortamlarda kalıcı dayanaklar oluşturmalarını, Tinyshell, gizli bir uzaktan erişim aracı ve sürüngen ve Medusa gibi gelişmiş Linux rootkits de dahil olmak üzere özel araç setlerinden yararlanmalarını sağlar.
| CVE kimliği | Etkilenen sistem | Güvenlik Açığı Türü |
| CVE-2023-34048 | Vmware vCenter sunucusu | Boundsed Dcerpc protokolünde yazıyor |
| CVE-2022-41328 | Fortinet Fortios 7.2.0-7.2.3, 7.0.0-7.0.9, <6.4.11 | Yol geçiş güvenlik açığı |
| CVE-2022-22948 | Vmware vCenter sunucusu | Uygun olmayan dosya izinleri nedeniyle bilgi açıklaması |
| CVE-2023-20867 | VM yazılım araçları | Ana bilgisayardan Guest Operasyonlarında Kimlik Doğrulama Bypass |
| CVE-2022-42475 | Ağ cihazları | Uzak Kod Yürütme |
| CVE-2025-21590 | Juniper Networks Junos OS | Çekirdekte yetersiz sistem ayrımı |
Bu sofistike araçlar, saldırganlara katmanlı kalıcılık mekanizmaları ve tespit ve kaldırılmayı son derece zorlaştıran ileri savunma kaçırma yetenekleri sağlar.
Tehdit oyuncunun operasyonları, ABD ve Avrupa’yı hedefleyen onaylanmış faaliyetlerle Singapur’un ötesine uzanıyor.
Singapur’un Siber Güvenlik Ajansı, UNC3886’nın ülkenin temel hizmetleri güçlendiren kritik bilgi altyapısının bölümlerine sızmasını aktif olarak araştırıyor, ancak belirli etkilenen sektörler operasyonel güvenlik nedenleriyle açıklanmıyor.
UNC3886, ilk erişim için halka açık uygulamalardan yararlanarak başlayan kapsamlı bir saldırı metodolojisi kullanır, ardından rootkit teknolojisinin dağıtımı ve çekirdek sistem ikili dosyalarının değiştirilmesi.
Grubun kalıcılık mekanizmaları, önyükleme ve oturum açma Autostart yürütme, geçerli hesap kötüye kullanımı ve sistem yeniden başlatmalarından ve güvenlik aracı dağıtımlarından kurtulan backrounların stratejik yerleştirilmesini içerir.
Tehdit oyuncusu araç seti, Tinyshell’in şifreli HTTP/HTTPS iletişimine hafif, python tabanlı uzaktan erişim sağlayan olağanüstü bir sofistike olduğunu gösteriyor.
Bu arada, sürüngen ve Medusa rootkits, saldırganlara yüksek ayrıcalıklar ve gizli arka kapı erişimi sağlarken kötü niyetli süreçleri, dosyaları ve ağ etkinliğini gizleyerek çekirdek düzeyinde çalışır.
Aşağıdaki tablo, UNC3886’nın kampanyalarından yararlandığı temel ortak güvenlik açıklarını ve maruziyetlerini (CVES) özetlemektedir:
Bu platformları işleten kuruluşlar, hemen satıcı yamaları uygulamalı ve UNC3886’nın potansiyel sızma girişimlerini azaltmak için bilinen uzlaşma göstergeleri için gelişmiş izleme uygulamalıdır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now