O ator de espionagem cibernética do nexo da China, ligado à exploração de dia zero de falhas de segurança em dispositivos Fortinet, Ivanti e VMware, foi observado utilizando vários mecanismos de persistência para manter o acesso irrestrito a ambientes comprometidos.
“Os mecanismos de persistência abrangem dispositivos de rede, hipervisores e máquinas virtuais, garantindo que canais alternativos permaneçam disponíveis mesmo que a camada primária seja detectada e eliminada”, disseram os pesquisadores da Mandiant em um novo relatório.
O ator da ameaça em questão é UNC3886que a empresa de inteligência de ameaças de propriedade do Google classificou como “sofisticada, cautelosa e evasiva”.
Os ataques orquestrados pelo adversário aproveitaram falhas de dia zero, como CVE-2022-41328 (Fortinet FortiOS), CVE-2022-22948 (VMware vCenter) e CVE-2023-20867 (VMware Instruments) para executar várias ações maliciosas, variando desde a implantação de backdoors até a obtenção de credenciais para acesso mais profundo.
Também foi observada a exploração de CVE-2022-42475, outra deficiência que afeta o Fortinet FortiGate, brand após sua divulgação pública pela empresa de segurança de rede.
Estas intrusões identificaram principalmente entidades na América do Norte, Sudeste Asiático e Oceânia, com vítimas adicionais identificadas na Europa, África e outras partes da Ásia. As indústrias visadas abrangem governos, telecomunicações, tecnologia, aeroespacial e defesa, e setores de energia e serviços públicos.
Uma tática notável no arsenal do UNC3886 é que ele desenvolveu técnicas que escapam ao software program de segurança e permitem que ele se infiltre em redes governamentais e empresariais e espione as vítimas por longos períodos de tempo sem ser detectado.
Isso envolve o uso de rootkits disponíveis publicamente, como Reptile e Medusa, em máquinas virtuais (VMs) convidadas, sendo que a última é implantada usando um componente instalador denominado SEAELF.
“Ao contrário do REPTILE, que fornece apenas acesso interativo com funcionalidades de rootkit, o MEDUSA exibe capacidades de registrar credenciais de usuário a partir de autenticações bem-sucedidas, native ou remotamente, e execuções de comandos”, observou Mandiant. “Esses recursos são vantajosos para o UNC3886 como seu modus operandi para se mover lateralmente usando credenciais válidas.”
Também são entregues nos sistemas dois backdoors chamados MOPSLED e RIFLESPINE que aproveitam serviços confiáveis como GitHub e Google Drive como canais de comando e controle (C2).
MOPSLED, uma provável evolução do malware Crosswalk, é um implante modular baseado em shellcode que se comunica por HTTP para recuperar plug-ins de um servidor GitHub C2, enquanto RIFLESPINE é uma ferramenta multiplataforma que faz uso do Google Drive para transferir arquivos e executar comandos .
Mandiant disse que também detectou UNC3886 implantando clientes SSH backdoor para coletar credenciais após a exploração de 2023-20867, bem como aproveitar a Medusa para configurar servidores SSH personalizados para o mesmo propósito.
“A primeira tentativa do agente da ameaça de estender seu acesso aos dispositivos de rede visando o servidor TACACS foi o uso do LOOKOVER”, observou. “LOOKOVER é um sniffer escrito em C que processa pacotes de autenticação TACACS+, executa a descriptografia e grava seu conteúdo em um caminho de arquivo especificado.”
Algumas das outras famílias de malware entregues durante ataques direcionados a instâncias VMware estão abaixo:
- Uma versão trojanizada de um daemon TACACS legítimo com funcionalidade de registro de credenciais
- VIRTUALSHINE, um backdoor baseado em soquetes VMware VMCI que fornece acesso a um shell bash
- VIRTUALPIE, um backdoor Python que suporta transferência de arquivos, execução arbitrária de comandos e recursos de shell reverso
- VIRTUALSPHERE, um módulo controlador responsável por um backdoor baseado em VMCI
Ao longo dos anos, as máquinas virtuais tornaram-se alvos lucrativos para os agentes de ameaças devido ao seu uso generalizado em ambientes de nuvem.
“Uma VM comprometida pode fornecer aos invasores acesso não apenas aos dados dentro da instância da VM, mas também às permissões atribuídas a ela”, disse a Unidade 42 da Palo Alto Networks. “Como as cargas de trabalho de computação como VMs são geralmente efêmeras e imutáveis, o risco representado por uma identidade comprometida é indiscutivelmente maior do que o risco de dados comprometidos dentro de uma VM.”
As organizações são aconselhadas a seguir as recomendações de segurança dos avisos da Fortinet e da VMware para se protegerem contra ameaças potenciais.
