UNC3886 使用 Fortinet、VMware 0-Day 和隐身战术进行长期监视

关键词

与Fortinet、Ivanti和VMware设备安全漏洞0day利用有关的网络间谍活动据观察采用多种持久机制，以维持对受感染环境的不受限制的访问。

Mandiant 研究人员在一份新报告中表示：“持久机制涵盖网络设备、虚拟机管理程序和虚拟机，确保即使主要层被检测和消除，替代通道仍然可用。”

该APT组织代号UNC3886，谷歌旗下的 Mandiant 公司将其标记为“老练、谨慎和逃避”。

攻击者精心策划的攻击利用了CVE-2022-41328（Fortinet FortiOS）、CVE-2022-22948（VMware vCenter）和CVE-2023-20867（VMware Tools）等 0day 漏洞执行各种恶意操作，从部署后门到获取更深层次访问权限的凭据。

在网络安全公司 Fortinet FortiGate 公开披露该漏洞后不久，人们还观察到有人利用漏洞CVE-2022-42475 。

这些入侵主要针对北美、东南亚和大洋洲的实体，欧洲、非洲和亚洲其他地区也发现了其他受害者。目标行业涵盖政府、电信、技术、航空航天和国防以及能源和公用事业部门。

UNC3886 武器库中一个值得注意的策略是，它开发了逃避安全软件的技术，使其能够潜入政府和商业网络并在不被发现的情况下长时间监视受害者。

这需要在客户虚拟机 (VM) 上使用可公开获得的 rootkit，例如Reptile和Medusa，后者使用名为 SEAELF 的安装程序组件进行部署。

Mandiant 指出：“Reptile 仅提供具有 rootkit 功能的交互式访问，而 Medusa 则不同，它能够记录成功身份验证的用户凭据（无论是本地还是远程）以及命令执行。这些功能对 UNC3886 非常有利，因为它们的作案手法是利用有效凭据进行横向移动。”

系统上还提供了两个名为 MOPSLED 和 RIFLESPINE 的后门，它们利用 GitHub 和 Google Drive 等可信服务作为命令和控制 (C2) 通道。

MOPSLED 可能是Crosswalk恶意软件的演变，它是一种基于 shellcode 的模块化植入程序，通过 HTTP 进行通信以从 GitHub C2 服务器检索插件，而 RIFLESPINE 是一种跨平台工具，利用 Google Drive 传输文件和执行命令。

Mandiant 表示，它还发现 UNC3886 部署了后门 SSH 客户端来获取 2023-20867 漏洞利用后的凭证，并利用 Medusa 设置自定义 SSH 服务器以达到相同目的。

“攻击者首次尝试通过瞄准TACACS 服务器来扩展对网络设备的访问权限，就是使用 LOOKOVER。”报告指出。“LOOKOVER 是一个用 C 编写的嗅探器，可处理 TACACS+ 身份验证数据包、执行解密并将其内容写入指定的文件路径。”

在针对 VMware 实例的攻击过程中，还传播了一些其他恶意软件家族：

1. 具有凭证记录功能的合法 TACACS 守护程序的木马版本

2. VIRTUALSHINE，一个基于 VMware VMCI 套接字的后门，可提供对 bash shell 的访问

3. VIRTUALPIE，一个支持文件传输、任意命令执行和反向 shell 功能的 Python 后门

4. VIRTUALSPHERE，与基于 VMCI 的后门关联的控制器模块

多年来，由于虚拟机在云环境中的广泛使用，它已成为攻击者有利可图的目标。

Palo Alto Networks Unit 42表示：“被入侵的虚拟机不仅可以让攻击者访问虚拟机实例内的数据，还可以访问分配给它的权限。由于虚拟机等计算工作负载通常是短暂且不可改变的，因此身份被入侵所带来的风险可以说比虚拟机内数据被入侵的风险更大。”

建议各组织遵循Fortinet和VMware公告中的安全建议，以防范潜在威胁。