یک هکر چینی که با نام UNC3886 شناخته میشود، از روتکیتهای open-source در دسترس عموم به نامهای Reptile و Medusa برای مخفی ماندن در ماشینهای مجازی VMware ESXi استفاده میکند و به آنها اجازه میدهد تا سرقت اعتبار(credential theft ) ، اجرای فرمان (command execution ) و حرکت جانبی(lateral movement ) را انجام دهند.
شرکت Mandiant برای مدت طولانی این هکر را ردیابی کرده است و قبلاً حملاتی را به سازمانهای دولتی گزارش کرده است که از دو آسیبپذیری روز صفر Fortinet و VMware برای مدت طولانی مورد سوء استفاده قرار گرفتهاند.
گزارش جدیدی توسط Mandiant از استفاده UNC3886 از روتکیتهای ذکر شده در ماشینهای مجازی برای پایداری و مخفی ماندن و همچنین ابزارهای بدافزار سفارشی مانند Mopsled و Riflespine که از GitHub و Google Drive برای command and control استفاده میکنند، پردهبرداری میکند.
طبق گفته Mandiant، آخرین حملات UNC3886، سازمانهایی را در آمریکای شمالی، آسیای جنوب شرقی و اقیانوسیه هدف قرار دادند و قربانیان بیشتری در اروپا، آفریقا و سایر بخشهای آسیا شناسایی شدند.
صنایع هدف شامل دولتها، مخابرات، فناوری، هوافضا، دفاع و بخشهای انرژی و تاسیسات بود.
Rootkitting VMware ESXi VMs
Mandiant میگوید که هکرها، VMware ESXi VMs را هک میکنند و روتکیتهای open-source را نصب میکنند تا دسترسی را برای عملیات طولانیمدت حفظ کنند.
روت کیت یک نرم افزار مخرب است که به هکرها اجازه می دهد تا برنامه ها را اجرا کرده و تغییراتی را انجام دهند که برای کاربران در سیستم عامل قابل مشاهده نیست. این نوع بدافزار به عوامل تهدید اجازه می دهد تا فعالیت خود را پنهان کنند.
Mandiant توضیح داد: «پس از سوء استفاده از آسیبپذیریهای zero-day برای دسترسی به سرورهای vCenter و متعاقباً مدیریت سرورهای ESXi، هکر کنترل کامل ماشینهای مجازی مهمان را به دست آورد که همان سرور ESXi را با سرور vCenter به اشتراک میگذاشتند.
Mandiant مشاهده کرد که هکر از دو روت کیت در دسترس عموم، REPTILE و MEDUSA، در ماشینهای مجازی مهمان برای حفظ دسترسی و فرار از شناسایی استفاده میکند.
Reptile یک روت کیت منبع باز لینوکس است که به عنوان یک ماژول هسته بارگیری (LKM ) پیاده سازی شده و یک backdoor برای مراحل بعد ایجاد میکند . همچنین این بدافزار به صورت مخفیانه عمل میکند.
اجزای اصلی Reptile’s عبارتند از:
یک user-mode component (REPTILE.CMD که با کرنل ارتباط برقرار میکند تا فایل ها، فرآیندها و اتصالات شبکه را پنهان کند.
همچنین یک reverse shell component (REPTILE.SHELL) که می تواند برای گوش دادن به بسته های فعال سازی از طریق TCP، UDP یا ICMP پیکربندی شود و یک کانال مخفی برای اجرای فرمان از راه دور فراهم کند.
یک جزء در سطح کرنل که به توابع کرنل متصل می شود تا اقداماتی را که توسط user-mode انجام می شود پیاده سازی کند.
Mandiant ادامه داد: “به نظر می رسد که REPTILE روت کیت انتخابی UNC3886 است زیرا مشاهده شد که بلافاصله پس از دسترسی به endpoints هایی که در معرض خطر هستند حمله میکند و دسترسی میگرد.”
“REPTILE این امکان را میدهد که مواردی مثل ؛ اجرای فرمان و قابلیتهای انتقال فایل را انجام دهد. و همچنین به صورت مخفیانه فعالیت میکند که به هکر این امکان را میدهد تا از طریق port knocking به endpoints آلوده دسترسی و کنترل کامل را در دست بگیرد.”
دومین روتکیت open-source که هکر در حملات از آن استفاده می کند Medusa می باشد که به دلیل dynamic linker hijacking از طریق LD_PRELOAD شناخته میشود.
تمرکز کارکردی Medusa ، ثبت اعتبار، ثبت رمزهای عبور حساب از ورودهای موفق local و remote می باشد . همچنین گزارش اجرای فرمان را انجام می دهد و اطلاعاتی در مورد فعالیت های قربانی را در اختیار مهاجمان قرار می دهد.
Mandiant می گوید Medusa معمولاً بعد از Reptile به عنوان یک ابزار مکمل با استفاده از یک جزء جداگانه به نام Seaelf استفاده می شود.
بدافزار سفارشی
UNC3886 همچنین با استفاده از مجموعه ای از بدافزارهای سفارشی در این حمله استفاده می کند که برخی از آنها برای اولین بار ارائه می شوند.
مهمترین ابزارهای حمله ذکر شده عبارتند از:
Mopsled : یک بکدور modular مبتنی بر Shellcode که برای بازیابی و اجرای پلاگین ها طراحی شده است و به آن اجازه می دهد قابلیت های خود را به صورت پویا گسترش دهند.
Riflespine : یک بکدور Cross-platform با استفاده از Google Drive برای فرمان و کنترل (C2) که از یک سرویس systemd برای persistence استفاده می کند، اطلاعات سیستم را جمع آوری کرده و دستورات دریافتی از C2 را اجرا می کند.
Lookover : یک sniffer سفارشی برای کپچر کردن اعتبار TACACS+ credentials که با پردازش بسته های احراز هویت، رمزگشایی و ثبت محتوای آنها در سرورهای +TACACS مستقر شده و به مهاجمان کمک می کند تا دسترسی به شبکه خود را گسترش دهند.
Backdoored SSH execs : UNC3886 نسخههای اصلاحشده کلاینتها و SSH daemons ها را برای کپچر کردن credentials و ذخیره آنها در فایلهای گزارش رمزگذاریشده با XOR به کار میبرد. همچنین برای جلوگیری از بازنویسی توسط بهروزرسانیها، مهاجمان از yum-versionlock استفاده میکنند.
VMCI backdoors : این بکدور ها از واسط ارتباطی ماشین مجازی(VMCI) برای تسهیل ارتباط بین ماشین های مجازی مهمان و میزبان استفاده می کنند.
Mandiant قصد دارد جزئیات فنی بیشتری را در مورد بکدورهای VMCI در آینده منتشر کند.
فهرست کامل با IoC ها و قوانین YARA برای شناسایی فعالیت UNC3886 در انتهای گزارش Mandiant قرار دارد.
