Οι Κινέζοι hackers UNC3886, που είναι γνωστοί για επιθέσεις κυβερνοκατασκοπείας, έχουν συνδεθεί με την εκμετάλλευση ευπαθειών σε συσκευές Fortinet, Ivanti και VMware. Μάλιστα, χρησιμοποιούν πολλαπλούς μηχανισμούς persistence προκειμένου να διατηρούν απεριόριστη πρόσβαση στα παραβιασμένα περιβάλλοντα.

Οι επιτιθέμενοι έχουν χρησιμοποιήσει zero-day ευπάθειες, όπως τις CVE-2022-41328 (Fortinet FortiOS), CVE-2022-22948 (VMware vCenter) και CVE-2023-20867 (VMware Tools) για την εκτέλεση διαφόρων κακόβουλων ενεργειών από την ανάπτυξη backdoors έως την απόκτηση credentials.

Δείτε επίσης: Ευπάθειες στο Mailcow Server αξιοποιούνται από hackers!

Εκμεταλλεύτηκαν, επίσης, την ευπάθεια CVE-2022-42475 που επηρεάζει το Fortinet FortiGate, λίγο μετά τη δημόσια αποκάλυψή της από την εταιρεία.

Οι επιθέσεις των Κινέζων hackers UNC3886 έχουν στοχεύσει κυρίως οντότητες στη Βόρεια Αμερική, τη Νοτιοανατολική Ασία και την Ωκεανία, ενώ έχουν εντοπιστεί και θύματα στην Ευρώπη, την Αφρική και άλλα μέρη της Ασίας. Οι hackers έχουν στοχεύσει κυβερνήσεις, τηλεπικοινωνίες, εταιρείες τεχνολογίας, αεροδιαστημικής και άμυνας, οργανισμούς ενέργειας και υπηρεσίες κοινής ωφέλειας.

Οι Κινέζοι hackers UNC3886 χρησιμοποιούν τεχνικές που αποφεύγουν το λογισμικό ασφαλείας και επιτρέπουν την εισχώρηση σε κυβερνητικά και επιχειρηματικά δίκτυα με στόχο την κατασκοπεία των θυμάτων για μεγάλα χρονικά διαστήματα. Για παράδειγμα, χρησιμοποιούν δύο rootkits, το Reptile και το Medusa, σε guest virtual machines (VM), τα οποία προσφέρουν πρόσβαση σε λειτουργίες rootkit και κλέβουν credentials.

Δείτε επίσης: Ευπάθειες στο VMware: Απειλές και τρόποι προστασίας

Επίσης, παραδίδονται δύο backdoors που ονομάζονται MOPSLED και RIFLESPINE και εκμεταλλεύονται αξιόπιστες υπηρεσίες όπως το GitHub και το Google Drive ως κανάλια εντολών και ελέγχου (C2). Το MOPSLED είναι ένα shellcode-based modular implant που επικοινωνεί μέσω HTTP για την ανάκτηση plugins από έναν GitHub C2 server. Το RIFLESPINE, από την άλλη μεριά, είναι ένα εργαλείο cross-platform που χρησιμοποιεί το Google Drive για τη μεταφορά αρχείων και την εκτέλεση εντολών .

Η Mandiant είπε ότι οι Κινέζοι hackers UNC3886 αναπτύσσουν backdoored SSH- clients για τη συλλογή διαπιστευτηρίων

μετά την εκμετάλλευση του 2023-20867.

Μερικά malware, που παραδόθηκαν κατά τη διάρκεια επιθέσεων σε συστήματα VMware, είναι:

  • Μια trojanized έκδοση ενός νόμιμου TACACS daemon με λειτουργικότητα καταγραφής διαπιστευτηρίων
  • Το VIRTUALSHINE, ένα backdoor που παρέχει πρόσβαση σε ένα bash shell
  • Το VIRTUALPIE, ένα Python backdoor που υποστηρίζει τη μεταφορά αρχείων, την αυθαίρετη εκτέλεση εντολών και δυνατότητες reverse shell
  • Το VIRTUALSPHERE, ένα controller module που σχετίζεται με ένα VMCI-based backdoor

Οι επιθέσεις των Κινέζων hackers μπορεί να προκαλέσουν σημαντικές απώλειες για τους οργανισμούς. Γι’ αυτό το λόγο, πρέπει να λαμβάνονται προληπτικά μέτρα προστασίας. Οι οργανισμοί πρέπει να ενημερώνονται συνεχώς για τις τελευταίες απειλές κυβερνοασφάλειας και τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι.

Δείτε επίσης: Zoom: Πώς να προστατεύσετε τις τηλεδιασκέψεις σας από ευπάθειες;

Επιπλέον, είναι σημαντικό να υπάρχει ένα ισχυρό σύστημα ασφάλειας πληροφοριών που περιλαμβάνει τακτικά αναθεωρημένες πολιτικές και διαδικασίες ασφάλειας, καθώς και τη χρήση τεχνολογιών προστασίας από επιθέσεις. Η εφαρμογή των πιο πρόσφατων ενημερώσεων σε όλα τα συστήματα και τις εφαρμογές βοηθά στην αντιμετώπιση ευπαθειών, που θα μπορούσαν να εκμεταλλευτούν οι Κινέζοι hackers.

Η εκπαίδευση του προσωπικού είναι εξίσου κρίσιμη. Το προσωπικό πρέπει να είναι ενήμερο για τις τρέχουσες απειλές και τρόπους προστασίας, καθώς και για τη σημασία της προστασίας των πληροφοριών του οργανισμού. Είναι σημαντικό να μπορεί κάποιος να αναγνωρίζει ύποπτα emails και μηνύματα, καθώς η μόλυνση συστημάτων γίνεται συχνά μέσω phishing.

Πηγή: thehackernews.com