Un grup de hackeri chinezi, cunoscut sub numele de UNC3886, utilizeaza rootkit-uri open-source numite ‘Reptile’ si ‘Medusa’ pentru a ramane ascunsi pe masinile virtuale VMware ESXi, permitandu-le sa fure credentiale, sa execute comenzi si sa se deplaseze lateral.
Mandiant a urmarit grupul de amenintare pentru o perioada indelungata, raportand anterior atacuri impotriva organizatiilor guvernamentale care au exploatat o vulnerabilitate zero-day in Fortinet si doua vulnerabilitati zero-day in VMware pentru perioade prelungite.
Un nou raport realizat de Mandiant dezvaluie folosirea rootkit-urilor mentionate pe masini virtuale pentru persistenta pe termen lung si evitarea detectarii, precum si utilizarea uneltelor malware personalizate precum ‘Mopsled’ si ‘Riflespine’, care au folosit GitHub si Google Drive pentru controlul comenzilor.
Conform Mandiant, cele mai recente atacuri ale UNC3886 au vizat organizatii din America de Nord, Asia de Sud-Est si Oceania, cu victime identificate si in Europa, Africa si alte parti din Asia.
Industriile vizate au inclus guvernele, telecomunicatiile, tehnologia, aero-spatial, apararea, energie si sectorul utilitatilor.
Mandiant sustine ca hackerii compromit masinile virtuale VMware ESXi si instaleaza rootkit-uri open-source pentru a mentine accesul pentru operatiuni pe termen lung.
Un rootkit este un software malign care permite hackerilor sa ruleze programe si sa faca modificari care nu sunt vizibile utilizatorilor din sistemul de operare. Acest tip de malware le permite hackerilor sa isi ascunda prezenta in timp ce se angajeaza in comportamente maligne.
‘Dupa ce au exploatat vulnerabilitati zero-day pentru a obtine acces la serverele vCenter si ulterior la serverele ESXi gestionate, actorul a obtinut control total asupra masinilor virtuale de tip guest care impart acelasi server ESXi cu serverul vCenter,’ a explicat Mandiant.
‘Mandiant a observat ca actorul a folosit doua rootkit-uri disponibile public, REPTILE si MEDUSA, pe masinile virtuale de tip guest pentru a mentine accesul si a evita detectarea.
REPTILE este un rootkit open-source pentru Linux implementat ca un modul kernel incarcat dinamic (LKM), conceput pentru a oferi acces la portita din spate si a facilita persistenta stealthy.
Componenetele principale ale REPTILE sunt:
‘REPTILE a parut a fi rootkit-ul de ales de catre UNC3886, deoarece a fost observat fiind implementat imediat dupa obtinerea accesului la endpoint-urile compromise,’ a continuat Mandiant.
‘REPTILE ofera atat functionalitatea comuna de portita din spate, cum ar fi executia comenzilor si capacitatea de transfer de fisiere, cat si functionalitatea stealth care permite actorului sa aiba acces evaziv si sa controleze endpoint-urile infectate prin port knocking.’
UNC3886 a modificat rootkit-ul pentru a folosi cuvinte cheie unice pentru diferite implementari, ajutand la evaziune, in timp ce au facut schimbari si in lansatorul rootkit-ului si scripturile de pornire, in scopul de a spori persistenta si stealth.
Al doilea rootkit open-source pe care actorul de amenintare il implementeaza in atacuri este Medusa, cunoscut pentru furtul linker-ului dinamic prin ‘LD_PRELOAD.’
Focalizarea functionala a lui Medusa este inregistrarea credentialelor, capturand parolele contului din logarile locale si de la distanta reusite. De asemenea, realizeaza inregistrarea executarii comenzilor, oferind atacatorilor informatii despre activitatile victimei si perspectiva asupra mediului compromis.
Mandiant sustine ca Medusa este de obicei implementat dupa Reptile ca o unealta complementara folosind o componenta separata numita ‘Seaelf.’
S-au observat unele personalizari pe Medusa, de asemenea, cu UNC3886 dezactivand anumite filtre si modificand sirurile de configurare.
UNC3886 a fost de asemenea observat folosind o colectie de unelte malware personalizate in operatiunile sale, unele dintre acestea fiind prezentate pentru prima data.
Cele mai importante unelte de atacate enumerate sunt:
Mandiant intentioneaza sa publice mai multe detalii tehnice despre acele backdoor-uri VMCI intr-o postare viitoare.
Lista completa cu indicatorii de compromis si regulile YARA pentru detectarea activitatii UNC3886 se afla la sfarsitul raportului Mandiant.
Leave a Reply