2021 yılında, Çin’in bağlantı noktası siber casusluk aktörü olduğundan şüphelenilen UNC3886’nın, virüslü makinelere arka kapılar kurmak için FortiOS ve VMware’deki birden fazla güvenlik açığından yararlanarak büyük ölçekte stratejik kuruluşları hedef aldığı ortaya çıktı.
Fortinet ve VMware, güvenlik açıklarını gidermek için yamalar yayınladı.
Bununla birlikte, tehdit aktörünün saldırı vektörü üzerinde yapılan daha ileri araştırmalar, tehlikeye atılmış makineler üzerinde birkaç katmanlı organize kararlılık kullanan tehdit aktörünün sofistike, temkinli ve kaçamak doğasını ortaya çıkardı.
Buna alternatif kanal erişimi elde etmek için ağ cihazlarına, hipervizörlere ve sanal makinelere erişimin sürdürülmesi de dahildir.
Güvenliği ihlal edilmiş ortama erişim sağladıktan sonra, uzun vadeli kalıcılık için kamuya açık rootkit’leri kullandılar ve ayrıca C&C sunucusuyla bağlantı kurmak için kötü amaçlı yazılım yerleştirdiler.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Ayrıca, özel kötü amaçlı yazılım kullanarak TACACS+ (Terminal Erişim Denetleyicisi Erişim Kontrol Sunucusu) kimlik doğrulamasından da bilgi çıkardılar.
Sıfır Gün Sömürü
Cyber Security News ile paylaşılan raporlara göre UNC3886 tehdit aktörü, 2021’den beri VMware vCenter güvenlik açığı CVE-2023-34048’den yararlanıyor ve bu güvenlik açığı bulunan vCenter makinelerinde kimlik doğrulaması yapılmadan uzaktan komut yürütülmesine olanak tanıyor.
Buna ek olarak aşağıdakiler gibi başka güvenlik açıkları da vardı:
- CVE-2022-41328 – Yol Geçişi – FortiGate cihazlarında arka kapıları indirmek ve çalıştırmak için kullanılır
- CVE-2022-22948 – Bilgi İfşası – vCenter’ın postgresDB’sinde şifrelenmiş kimlik bilgileri elde etmek için kullanılır
- CVE-2023-20867 – Kimlik Doğrulamayı Atlama – Güvenliği ihlal edilmiş ESXi ana bilgisayarından kimliği doğrulanmamış Misafir işlemlerini yürütmek için kullanılır
- CVE-2022-42475 – Yığın Tabanlı Arabellek Taşması – Özel hazırlanmış istekler yoluyla kimliği doğrulanmamış rastgele kod veya komutları yürütmek için kullanılır.
Ayrıca, uzun vadeli kalıcılık sağlamak için halka açık çeşitli rootkitler kullanıldı. UNC3886 tarafından kullanılan rootkit’ler REPTILE, MEDUSA ve SEAELF’tir.
SÜRÜNGEN
Bu, bir sisteme arka kapı erişimi sağlayan açık kaynaklı bir linux rootkit’tir.
Ek olarak bu rootkit, dosyaları, işlemleri ve ağ bağlantılarını gizleme gibi eylemler, etkinleştirme için TCP, UDP veya ICMP gibi özel paketleri dinleme seçeneği ve gerçek şifreyi çözmek için kullanılabilecek bir LKM başlatıcısı da dahil olmak üzere çeşitli işlevler sunuyordu. çekirdek modül kodunu dosyadan çıkarın ve belleğe yükleyin.
Bu açık kaynaklı bir rootkit olmasına rağmen tehdit aktörü, bunu kendi ihtiyaçlarına göre özelleştirmek için birkaç kod değişikliği yaptı.
Kod değişikliklerinin çoğunun 1 Mart 2020’de tanıtılan 2.1 sürümünden önce olduğu gözlemlendi.
Tespit edilen önemli değişikliklerden biri, bir süreci daemonize etmeye yönelik yeni bir işlevi içeren LKM başlatıcısının içindeydi.
MEDUSA ve DENİZF
MEDUSA, LD_PRELOAD aracılığıyla dinamik bağlayıcı ele geçirmeyle uygulanan başka bir açık kaynaklı rootkit’ti.
MEDUSA’nın yükleyicisine SEAELF adı verildi. MEDUSA’nın iki sürümü belirlendi ve her ikisi de yapılandırma dizelerini şifrelemek için XOR şifreleme anahtarlarını kullandı.
Ayrıca, MEDUSA konfigürasyonunda birden fazla MEDUSA eseri oluşturmak için kullanılabilecek birkaç ek değişiklik görüldü.
Kötü Amaçlı Yazılım Kullanımı
Tehdit aktörü, rootkit’lerin yanı sıra MOPSLED ve RIFLESPINE gibi çeşitli kötü amaçlı yazılımlar da kullandı. MOPSLED, HTTP veya özel bir ikili protokol üzerinden TCP üzerinden C2 ile iletişim kurabilen, kabuk kodu tabanlı modüler bir arka kapıdır.
Bu arka kapının temel işlevi, eklentileri C2 sunucusundan alma yeteneğiydi ve aynı zamanda ChaCha20 şifreleme algoritmasını kullanıyor.
Ayrıca UNC3886’nın, vCenter sunucularına ve halihazırda REPTILE’ın kurulu olduğu bazı tehlikeye atılmış uç noktalara dağıtmak için bu arka kapının Linux versiyonunu kullandığı tespit edildi.
RIFLESPINE, dosyaları aktarmak ve komutları yürütmek için Google Drive’ı kullanan başka bir platformlar arası arka kapıdır.
Bu arka kapı, güvenliği ihlal edilen makine ile tehdit aktörü arasında iletilen verileri şifrelemek amacıyla AES algoritmasını uygulamak için CryptoPP kitaplığını kullanır.
Bu arka kapının dağıtımı, güvenliği ihlal edilmiş uç noktada yürütülürken RIFLESPINE’a yönelik talimatları içeren şifrelenmiş bir dosyanın Google Drive’da oluşturulmasıyla başlar.
Ayrıca yürütme çıktıları şifrelenecek, geçici bir dosyada saklanacak ve ardından tekrar Google Drive’a yüklenecek.
RIFLESPINE’daki talimatlar aşağıdakileri içerir:
- Dosyayı get komutuyla indirin.
- Put komutuyla dosyayı yükleyin.
- Settime ile bir sonraki çağrı süresini milisaniye cinsinden ayarlayın.
- /bin/sh ile isteğe bağlı komutların yürütülmesi
Uzlaşma Göstergeleri
| Dosya adı | MD5 | Aile | Rol |
| gl.py | 381b7a2a6d581e3482c829bfb542a7de | YARAR | |
| install-20220615.py | 876787f76867ecf654019bd19409c5b8 | KURULUMCU | |
| lsuv2_nv.v01 | 827d8ae502e3a4d56e6c3a238ba855a7 | ARŞİV | |
| yük1.v00 | 9ea86dccd5bbde47f8641b62a1eeff07 | ARŞİV | |
| rdt | fcb742b507e3c074da5524d1a7c80f7f | ARŞİV | |
| sendPacket.py | 129ba90886c5f5eb0c81d901ad10c622 | YARAR | |
| sendPacket.py | 0f76936e237bd87dfa2378106099a673 | YARAR | |
| u.py | d18a5f1e8c321472a31c27f4985834a4 | YARAR | |
| vmware_ntp.sh | 4ddca39b05103aeb075ebb0e03522064 | BAŞLATICI | |
| wp | 0e43a0f747a60855209b311d727a20bf | HAYALET KASABA | YARAR |
| aububbaditd | 1d89b48548ea1ddf0337741ebdb89d92 | GÖZDEN GEÇİR | KOKULAYICI |
| bubba_sniffer | ecb34a068eeb2548c0cbe2de00e53ed2 | GÖZDEN GEÇİR | KOKULAYICI |
| ksbubba | 89339821cdf6e9297000f3e6949f0404 | MOPSLED.LINUX | ARKA KAPI |
| ksbubba.service | c870ea6a598c12218e6ac36d791032b5 | MOPSLED.LINUX | BAŞLATICI |
| 99-bubba.rules | 1079d416e093ba40aa9e95a4c2a5b61f | SÜRÜNGEN | BAŞLATICI |
| yönetici | ed9be20fea9203f4c4557c66c5b9686c | SÜRÜNGEN | ARKA KAPI |
| yetki | 568074d60dd4759e963adc5fe9f15eb1 | SÜRÜNGEN | ARKA KAPI |
| baba | 4d5e4f64a9b56067704a977ed89aa641 | SÜRÜNGEN | BAŞLATICI |
| bubba_icmp | 1b7aee68f384e252286559abc32e6dd1 | SÜRÜNGEN | ARKA KAPI |
| bubba_loader | b754237c7b5e9461389a6d960156db1e | SÜRÜNGEN | ARKA KAPI |
| müşteri | f41ad99b8a8c95e4132e850b3663cb40 | SÜRÜNGEN | ARKA KAPI |
| kısa çizgi | 48f9bbdb670f89fce9c51ad433b4f200 | SÜRÜNGEN | BAŞLATICI |
| dinleyici | 4fb72d580241f27945ec187855efd84a | SÜRÜNGEN | ARKA KAPI |
| paket | e2cdf2a3380d0197aa11ff98a34cc59e | SÜRÜNGEN | KONTROLÖR |
| yetki | fd3834d566a993c549a13a52d843a4e1 | REPTIL.KABUK | ARKA KAPI |
| yetki | 4282de95cc54829d7ac275e436e33b78 | REPTIL.KABUK | ARKA KAPI |
| bubba_reverse | c9c00c627015bd78fda22fa28fd11cd7 | REPTIL.KABUK | ARKA KAPI |
| Bilinmeyen | 047ac6aebe0fe80f9f09c5c548233407 | REPTIL.KABUK | ARKA KAPI |
| usbubbaxd | bca2ccff0596a9f102550976750e2a89 | Tüfek omurgası | ARKA KAPI |
| denetim | 3a8a60416b7b0e1aa5d17eefb0a45a16 | minik kabuk | KONTROLÖR |
| dil_ext | 6e248f5424810ea67212f1f2e4616aa5 | minik kabuk | ARKA KAPI |
| senkronizasyon | 5d232b72378754f7a6433f93e6380737 | minik kabuk | KONTROLÖR |
| x64 | 3c7316012cba3bbfa8a95d7277cda873 | SANALGATE | DAMLALIK |
| ndc4961 | 9c428a35d9fc1fdaf31af186ff6eec08 | SANALPEER | YARAR |
| lsu_lsi_.v05 | 2716c60c28cf7f7568f55ac33313468b | SANAL PATA | ARŞİV |
| vmsyslog.py | 61ab3f6401d60ec36cd3ac980a8deb75 | SANAL PATA | ARKA KAPI |
| vmware_local.sh | bd6e38b6ff85ab02c1a4325e8af29ce4 | SANAL PATA | BAŞLATICI |
| cleanupStatefulHost.sh | 9ef5266a9fdd25474227c3e33b8e6d77 | SANALPITA | BAŞLATICI |
| müşteri | a7cd7b61d13256f5478feb28ab34be72 | SANALPITA | ARKA KAPI |
| Dükler | cd3e9e4df7e607f4fe83873b9d1142e3 | SANALPITA | ARKA KAPI |
| yük1 | 62bed88bd426f91ddbbbcfcd8508ed6a | SANALPITA | ARŞİV |
| rdt | 8e80b40b1298f022c7f3a96599806c43 | SANALPITA | ARKA KAPI |
| rhttpproxy | c9f2476bf8db102fea7310abadeb9e01 | SANALPITA | ARKA KAPI |
| rhttpproxy-IO | 2c28ec2d541f555b2838099ca849f965 | SANALPITA | ARKA KAPI |
| RCI | 2bade2a5ec166d3a226761f78711ce2f | SANALPITA | ARKA KAPI |
| ssh | 969d7f092ed05c72f27eef5f2c8158d6 | SANALPITA | ARKA KAPI |
| nds4961l.so | 084132b20ed65b2930129b156b99f5b3 | SANALPARLAK | ARKA KAPI |
Ağ Tabanlı Göstergeler
| IPv4 | ASN | Netblok |
| 8.222.218.20 | 45102 | Alibaba’nın |
| 8.222.216.144 | 45102 | Alibaba’nın |
| 8.219.131.77 | 45102 | Alibaba’nın |
| 8.219.0.112 | 45102 | Alibaba’nın |
| 8.210.75.218 | 45102 | Alibaba’nın |
| 8.210.103.134 | 45102 | Alibaba’nın |
| 47.252.54.82 | 45102 | Alibaba’nın |
| 47.251.46.35 | 45102 | Alibaba’nın |
| 47.246.68.13 | 45102 | Alibaba’nın |
| 47.243.116.155 | 45102 | Alibaba’nın |
| 47.241.56.157 | 45102 | Alibaba’nın |
| 45.77.106.183 | 20473 | Choopa, LLC |
| 45.32.252.98 | 20473 | Choopa, LLC |
| 207.246.64.38 | 20473 | Choopa, LLC |
| 149.28.122.119 | 20473 | Choopa, LLC |
| 155.138.161.47 | 20473 | Gigabit Barındırma Sdn Bhd |
| 154.216.2.149 | 55720 | Gigabit Barındırma Sdn Bhd |
| 103.232.86.217 | 55720 | Gigabit Barındırma Sdn Bhd |
| 103.232.86.210 | 55720 | Gigabit Barındırma Sdn Bhd |
| 103.232.86.209 | 55720 | Gigabit Barındırma Sdn Bhd |
| 58.64.204.165 | 17444 | HKBN Kurumsal Çözümler Limited |
| 58.64.204.142 | 17444 | HKBN Kurumsal Çözümler Limited |
| 58.64.204.139 | 17444 | HKBN Kurumsal Çözümler Limited |
| 165.154.7.145 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 165.154.135.108 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 165.154.134.40 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 152.32.231.251 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 152.32.205.208 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 152.32.144.15 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 152.32.129.162 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 123.58.207.86 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 123.58.196.34 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 118.193.63.40 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 118.193.61.71 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
| 118.193.61.178 | 135377 | Ucloud Bilgi Teknolojileri Hk Limited |
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free