Guerra cibernética/ataques de Estado-nación, gestión de fraude y delitos cibernéticos, cortafuegos de red, control de acceso a la red UNC3886 Dispositivos de borde dirigidos para la persistencia, dice MandiantAkshaya Asokan (asokan_akshaya) •19 de junio de 2024 Probablemente piratas informáticos estatales chinos atacaron dispositivos de borde, incluidos servidores VMware ESXi. (Imagen: Shutterstock) Un presunto grupo de piratería chino utilizó rootkits de código abierto para garantizar la persistencia en dispositivos periféricos comprometidos, como servidores VMware ESXi, para campañas de espionaje, dijo Google Mandiant. Ver también: Cerrar el caso sobre ransomware El grupo de hackers, que Mandiant rastrea como UNC3886, es probablemente un grupo de amenazas chino que piratea para Beijing. La compañía de inteligencia sobre amenazas ha observado anteriormente que UNC3886 compromete aplicaciones de virtualización y firewall que carecen de soporte de detección de terminales. En una publicación de blog del martes que detalla las actividades del grupo, Mandiant reveló el uso prolífico de rootkits de código abierto por parte del grupo de amenazas para mantener la persistencia en dispositivos perimetrales como parte de sus operaciones en 2022 y 2023. “Los mecanismos de persistencia abarcaban dispositivos de red, hipervisores y máquinas virtuales. , asegurando que los canales alternativos permanezcan disponibles incluso si se detecta y elimina la capa primaria”, dijo Mandiant. Los atacantes aprovecharon una ejecución de comando remota no autenticada de día cero en VMware vCenter rastreada como CVE-2023-34048. Si el grupo de amenazas no logró obtener acceso inicial a los servidores de VMware, los atacantes atacaron fallas similares en FortiOS, una falla en VMware vCenter llamada postgresDB o una falla de VMware Tools. Después de comprometer los dispositivos perimetrales, el patrón del grupo ha sido implementar el rootkit de Linux Reptile de código abierto para apuntar a las máquinas virtuales alojadas en el dispositivo. Utiliza cuatro componentes de rootkit para capturar credenciales de shell seguras. Estos incluyen Reptile.CMD para ocultar archivos, procesos y conexiones de red; Reptile.Shell para escuchar paquetes especializados: un archivo a nivel de kernel para modificar el archivo .CMD para lograr la funcionalidad de rootkit; y un archivo de kernel cargable para descifrar el módulo real y cargarlo en la memoria. «Reptile parecía ser el rootkit elegido por UNC3886, ya que se observó que se implementaba inmediatamente después de obtener acceso a los puntos finales comprometidos», dijo Mandiant. «Reptile ofrece tanto la funcionalidad de puerta trasera común como la funcionalidad sigilosa que permite al actor de amenazas acceder y controlar evasivamente los puntos finales infectados mediante la activación de puertos». Además de Repitle, el grupo utilizó rootkits de código abierto Medusa y Seaelf para robar credenciales para capacidades de movimiento lateral. «Mandiant evaluó el uso de Medusa como una alternativa experimental a Repitle», dice el informe. Una vez en el entorno de la víctima, el grupo implementó variantes de malware Mopsled y Riflespine que utilizaban terceros confiables como GitHub y Google Drive como infraestructura de comando y control. Los datos infiltrados por las cepas incluían información del sistema que luego se enviaba a los servidores C2. El grupo subvirtió las funciones de autenticación e integración de contraseñas para recopilar credenciales del demonio SSH de la víctima. Dependiendo del dispositivo objetivo, el grupo personalizó aún más sus tácticas. En el caso de los servidores ESXi, dice Mandiant, el grupo implementó credenciales de vpxuser que se utilizan para administrar las actividades del host en vCenter o aprovechó CVE-2023-20867 para interceptar y recopilar credenciales dentro de un archivo de texto cifrado con XOR. Para garantizar que siguieran teniendo acceso prolongado a los servidores ESXi comprometidos, el grupo de amenazas implementó un paquete malicioso llamado «yum-versionlock» para sobrevivir a las actualizaciones de paquetes. Para extraer credenciales de TACACS+ (un dispositivo de red utilizado para autenticar usuarios), el grupo implementó una variante de malware personalizada llamada Lookover para permitir a los actores de amenazas manipular las credenciales de los usuarios y alterar los registros de contabilidad almacenados en el software. Aunque muchos de los días cero explotados por el grupo han sido parcheados, Mandiant dice que el grupo continúa apuntando a dispositivos de borde usando tácticas similares (ver: La nueva frontera de los hackers estatales: dispositivos de borde de red). URL de la publicación original: https://www.databreachtoday.com/chinese-hackers-used-open-source-rootkits-for-espionage-a-25571