Investigadores de Mandiant han revelado que el grupo de espionaje cibernético UNC3886, relacionado con China y vinculado a explotaciones de vulnerabilidades en dispositivos de Fortinet, Ivanti y VMware, ha utilizado diversos mecanismos de persistencia para mantener el acceso a los sistemas comprometidos. Estos mecanismos abarcan dispositivos de red, hipervisores y máquinas virtuales, asegurando canales alternativos incluso después de la eliminación de la capa primaria.
El actor, apodado sofisticado, cauteloso y evasivo por la empresa de inteligencia de amenazas propiedad de Google, ha llevado a cabo ataques aprovechando vulnerabilidades de día cero como CVE-2022-41328, CVE-2022-22948 y CVE-2023-20867 para desplegar acciones maliciosas, como la instalación de puertas traseras y la obtención de credenciales.
Se observó que explotaron CVE-2022-42475 poco después de su divulgación por una empresa de seguridad de red. Las intrusiones se dirigieron principalmente a entidades en América del Norte, sudeste asiático y Oceanía, así como a víctimas adicionales en Europa, África y otras partes de Asia, abarcando industrias como gobiernos, telecomunicaciones, tecnología, aeroespacial, defensa, energía y servicios públicos.
El actor ha desarrollado técnicas para evadir el software de seguridad, infiltrarse en redes gubernamentales y empresariales y espiar a las víctimas durante largos períodos sin detección, utilizando herramientas como Reptile y Medusa en máquinas virtuales. Además, han desplegado puertas traseras denominadas MOPSLED y RIFLESPINE, utilizando servicios de confianza como GitHub y Google Drive como canales de control de comandos.
Durante los ataques dirigidos a instancias de VMware, se entregaron varias familias de malware, incluida una versión troyanizada de un demonio de TACACS, así como puertas traseras basadas en sockets VMCI y Python, y un módulo controlador asociado con una puerta trasera basada en VMCI.
Las máquinas virtuales se han convertido en objetivos populares para los actores de amenazas debido a su uso generalizado en entornos en la nube, lo que requiere que las organizaciones sigan las recomendaciones de seguridad en los avisos de Fortinet y VMware para protegerse contra posibles amenazas.
Vía The Hacker News
La entrada UNC3886 Utiliza Fortinet, VMware 0-Días y Tácticas Sigilosas en Espionaje a Largo Plazo se publicó primero en News Bender Daily.