UNC3886 Utiliza Fortinet, VMware 0-Días y Tácticas Sigilosas en Espionaje a Largo Plazo News Bender Daily

Tabla de contenido

Investigadores de Mandiant han revelado que el grupo de espionaje cibernético UNC3886, relacionado con China y vinculado a explotaciones de vulnerabilidades en dispositivos de Fortinet, Ivanti y VMware, ha utilizado diversos mecanismos de persistencia para mantener el acceso a los sistemas comprometidos. Estos mecanismos abarcan dispositivos de red, hipervisores y máquinas virtuales, asegurando canales alternativos incluso después de la eliminación de la capa primaria.

El actor, apodado sofisticado, cauteloso y evasivo por la empresa de inteligencia de amenazas propiedad de Google, ha llevado a cabo ataques aprovechando vulnerabilidades de día cero como CVE-2022-41328, CVE-2022-22948 y CVE-2023-20867 para desplegar acciones maliciosas, como la instalación de puertas traseras y la obtención de credenciales.

Se observó que explotaron CVE-2022-42475 poco después de su divulgación por una empresa de seguridad de red. Las intrusiones se dirigieron principalmente a entidades en América del Norte, sudeste asiático y Oceanía, así como a víctimas adicionales en Europa, África y otras partes de Asia, abarcando industrias como gobiernos, telecomunicaciones, tecnología, aeroespacial, defensa, energía y servicios públicos.

El actor ha desarrollado técnicas para evadir el software de seguridad, infiltrarse en redes gubernamentales y empresariales y espiar a las víctimas durante largos períodos sin detección, utilizando herramientas como Reptile y Medusa en máquinas virtuales. Además, han desplegado puertas traseras denominadas MOPSLED y RIFLESPINE, utilizando servicios de confianza como GitHub y Google Drive como canales de control de comandos.

Durante los ataques dirigidos a instancias de VMware, se entregaron varias familias de malware, incluida una versión troyanizada de un demonio de TACACS, así como puertas traseras basadas en sockets VMCI y Python, y un módulo controlador asociado con una puerta trasera basada en VMCI.

Las máquinas virtuales se han convertido en objetivos populares para los actores de amenazas debido a su uso generalizado en entornos en la nube, lo que requiere que las organizaciones sigan las recomendaciones de seguridad en los avisos de Fortinet y VMware para protegerse contra posibles amenazas.

Vía The Hacker News

La entrada UNC3886 Utiliza Fortinet, VMware 0-Días y Tácticas Sigilosas en Espionaje a Largo Plazo se publicó primero en News Bender Daily.

INFORMACION DEL PUBLICADOR
Picture of Kamal Majaiti
Kamal Majaiti
Administrador de sistemas e informático por vocación.
COMPARTELO EN REDES
Publica un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.