Ένας ύποπτος κινεζικός παράγοντας απειλών που παρακολουθείται ως UNC3886 χρησιμοποιεί δημόσια διαθέσιμα rootkits ανοιχτού κώδικα που ονομάζονται «Reptile» και «Medusa» για να παραμένουν κρυφά σε εικονικές μηχανές VMware ESXi, επιτρέποντάς τους να πραγματοποιούν κλοπή διαπιστευτηρίων,
εκτέλεση
εντολών και πλευρική κίνηση.
Η Mandiant παρακολουθεί τον παράγοντα απειλών για μεγάλο χρονικό διάστημα, αναφέροντας προηγουμένως επιθέσεις σε κυβερνητικούς οργανισμούς που αξιοποιούν ένα Fortinet zero-day και δύο VMware zero-day τρωτά σημεία που εκμεταλλεύονται για εκτεταμένες περιόδους.
ΕΝΑ
νέα έκθεση της Mandiant
αποκαλύπτει τη χρήση των αναφερόμενων rootkits από το UNC3886 σε εικονικές μηχανές για μακροχρόνια επιμονή και αποφυγή, καθώς και προσαρμοσμένα εργαλεία κακόβουλου λογισμικού όπως το «Mopsled» και το «Riflespine», τα οποία αξιοποίησαν το GitHub και το
Google
Drive για εντολή και έλεγχο.
Οι πιο πρόσφατες επιθέσεις από το UNC3886, σύμφωνα με τη Mandiant, στόχευαν οργανώσεις στη Βόρεια Αμερική, τη Νοτιοανατολική Ασία και την Ωκεανία, με επιπλέον θύματα να εντοπίστηκαν στην Ευρώπη, την Αφρική και άλλα μέρη της Ασίας.
Οι στοχευόμενες βιομηχανίες περιελάμβαναν τους τομείς των κυβερνήσεων, των τηλεπικοινωνιών, της
τεχνολογία
ς, της αεροδιαστημικής, της άμυνας και της ενέργειας και των υπηρεσιών κοινής ωφέλειας.
Rootkitting VMware ESXi VMs
Η Mandiant λέει ότι οι παράγοντες απειλών παραβιάζουν τα VMware ESXi VM και εγκαθιστούν rootkits ανοιχτού κώδικα για να διατηρήσουν την πρόσβαση για μακροπρόθεσμες λειτουργίες.
Το
rootkit
είναι κακόβουλο λογισμικό που επιτρέπει στους παράγοντες απειλών να εκτελούν προγράμματα και να κάνουν τροποποιήσεις που δεν είναι ορατές στους χρήστες του λειτουργικού συστήματος. Αυτός ο τύπος κακόβουλου λογισμικού επιτρέπει στους παράγοντες της απειλής να κρύψουν την παρουσία τους ενώ εμπλέκονται σε κακόβουλη συμπεριφορά.
“Μετά την εκμετάλλευση των τρωτών σημείων zero-day για να αποκτήσει πρόσβαση σε διακομιστές vCenter και στη συνέχεια διαχειριζόμενους διακομιστές ESXi, ο ηθοποιός απέκτησε τον πλήρη έλεγχο των εικονικών μηχανών φιλοξενουμένων που μοιράζονταν τον ίδιο διακομιστή ESXi με τον διακομιστή vCenter”, εξήγησε ο Mandiant.
«Η Mandiant παρατήρησε ότι ο ηθοποιός χρησιμοποιεί δύο δημόσια διαθέσιμα rootkits, το REPTILE και το MEDUSA, στις εικονικές μηχανές φιλοξενούμενων για να διατηρήσει την πρόσβαση και να αποφύγει τον εντοπισμό.
Το Reptile είναι ένα rootkit Linux ανοιχτού κώδικα που υλοποιείται ως λειτουργική μονάδα πυρήνα με δυνατότητα φόρτωσης (LKM), που έχει σχεδιαστεί για να παρέχει πρόσβαση σε κερκόπορτα και να διευκολύνει τη μυστική επιμονή.
Τα κύρια συστατικά του ερπετού είναι:
- Ένα στοιχείο λειτουργίας χρήστη (REPTILE.CMD) που επικοινωνεί με το στοιχείο λειτουργίας πυρήνα για την απόκρυψη αρχείων, διεργασιών και συνδέσεων δικτύου.
- Ένα στοιχείο αντίστροφου κελύφους (REPTILE.SHELL) το οποίο μπορεί να ρυθμιστεί ώστε να ακούει πακέτα ενεργοποίησης μέσω TCP, UDP ή ICMP, παρέχοντας ένα κρυφό κανάλι για απομακρυσμένη εκτέλεση εντολών.
- Ένα στοιχείο σε επίπεδο πυρήνα που συνδέει τις λειτουργίες του πυρήνα για να εκτελέσει τις ενέργειες που ανατίθενται από το στοιχείο λειτουργίας χρήστη.
“Το REPTILE φάνηκε να είναι το rootkit της επιλογής του UNC3886 καθώς παρατηρήθηκε να αναπτύσσεται αμέσως μετά την απόκτηση πρόσβασης σε παραβιασμένα τελικά σημεία”, συνέχισε ο Mandiant.
“Το REPTILE προσφέρει τόσο την κοινή λειτουργία backdoor, όπως δυνατότητες εκτέλεσης εντολών και μεταφοράς αρχείων, καθώς και stealth λειτουργικότητα που επιτρέπει στον παράγοντα απειλής να έχει πρόσβαση και να ελέγχει αποφυγή τα μολυσμένα τελικά σημεία μέσω του knocking της θύρας.”
Το UNC3886 τροποποίησε το rootkit για να χρησιμοποιεί μοναδικές λέξεις-κλειδιά για διαφορετικές αναπτύξεις, βοηθώντας στην αποφυγή, ενώ έκανε επίσης αλλαγές στον εκκινητή και στα σενάρια εκκίνησης του rootkit με στόχο την ενίσχυση της επιμονής και της μυστικότητας.
Το δεύτερο rootkit ανοιχτού κώδικα που αναπτύσσει ο παράγοντας απειλών σε επιθέσεις είναι η Medusa, γνωστή για την πειρατεία δυναμικών συνδέσμων μέσω του ‘LD_PRELOAD’.
Η λειτουργική εστίαση της Medusa είναι η καταγραφή διαπιστευτηρίων, η καταγραφή κωδικών πρόσβασης λογαριασμού από επιτυχημένες τοπικές και απομακρυσμένες συνδέσεις. Εκτελεί επίσης καταγραφή εκτέλεσης εντολών, παρέχοντας στους εισβολείς πληροφορίες σχετικά με τις δραστηριότητες του θύματος και πληροφορίες για το παραβιασμένο περιβάλλον.
Η Mandiant λέει ότι η Medusa αναπτύσσεται συνήθως μετά το Reptile ως συμπληρωματικό εργαλείο χρησιμοποιώντας ένα ξεχωριστό στοιχείο που ονομάζεται “Seaelf”.
Παρατηρήθηκε επίσης κάποια προσαρμογή στη Medusa, με το UNC3886 να απενεργοποιεί ορισμένα φίλτρα και να τροποποιεί τις συμβολοσειρές διαμόρφωσης.
Προσαρμοσμένο κακόβουλο λογισμικό
Το UNC3886 παρατηρήθηκε επίσης χρησιμοποιώντας μια συλλογή προσαρμοσμένων εργαλείων κακόβουλου λογισμικού στις λειτουργίες του, μερικά από τα οποία παρουσιάζονται για πρώτη φορά.
Τα πιο σημαντικά από τα αναφερόμενα εργαλεία επίθεσης είναι:
-
Σφουγγαρίστρα
– Αρθρωτό backdoor που βασίζεται σε Shellcode, σχεδιασμένο για ανάκτηση και εκτέλεση πρόσθετων, επιτρέποντάς του να επεκτείνει δυναμικά τις δυνατότητές του. Φαίνεται στους διακομιστές vCenter και σε άλλα παραβιασμένα τελικά σημεία παράλληλα με το Reptile. -
Τουφέκι
– Πίσω πόρτα πολλαπλών πλατφορμών που αξιοποιεί το Google Drive για εντολή και έλεγχο (C2).
Χ
ρησιμοποιεί μια υπηρεσία systemd για επιμονή, συλλέγει πληροφορίες συστήματος και εκτελεί εντολές που λαμβάνονται από το C2. -
Κοίταγμα
– Προσαρμοσμένο sniffer για τη λήψη διαπιστευτηρίων TACACS+ με την επεξεργασία πακέτων ελέγχου ταυτότητας, την αποκρυπτογράφηση και την καταγραφή του περιεχομένου τους. Αναπτύχθηκε σε διακομιστές TACACS+ και βοηθά τους εισβολείς να επεκτείνουν την πρόσβαση στο δίκτυο. -
Backdoored SSH στελέχη
– Το UNC3886 ανέπτυξε τροποποιημένες εκδόσεις προγραμμάτων-πελατών SSH και δαιμόνων για να καταγράψει διαπιστευτήρια και να τα αποθηκεύσει σε αρχεία καταγραφής κρυπτογραφημένα με XOR. Για να αποτρέψουν την αντικατάσταση από ενημερώσεις, οι εισβολείς χρησιμοποιούν το ‘yum-versionlock’. -
Πίσω πόρτες VMCI
– Οικογένεια Backdoor που εκμεταλλεύεται τη διεπαφή επικοινωνίας εικονικής μηχανής (VMCI) για να διευκολύνει την επικοινωνία μεταξύ των εικονικών μηχανών φιλοξενουμένων και φιλοξενουμένων. Περιλαμβάνει το “VirtualShine” (πρόσβαση του κελύφους bash μέσω υποδοχών VMCI), το “VirtualPie” (μεταφορά αρχείων, εκτέλεση εντολών, αντίστροφο κέλυφος) και το “VirtualSphere” (ελεγκτής που μεταδίδει τις εντολές).
Η Mandiant σχεδιάζει να δημοσιεύσει περισσότερες τεχνικές λεπτομέρειες σχετικά με αυτές τις κερκόπορτες VMCI σε μελλοντική ανάρτηση.
Η πλήρης λίστα με δείκτες συμβιβασμού και κανόνες YARA για τον εντοπισμό δραστηριότητας UNC3886 βρίσκεται στο κάτω μέρος της αναφοράς της Mandiant.
VIA:
bleepingcomputer.com
0