Mandiant Intelligence поделилась своими размышлениями относите | SecAtor

Mandiant Intelligence поделилась своими размышлениями относительно того, как китайские АРТ развивают тактику первоначального доступа и посткомпрометации, минимализируя при этом возможности обнаружения и атрибуции.

Ресечеры, в частности, отмечают использование 0-day в ПО для обеспечения безопасности и виртуализации, а также нацеливание на сетевые устройства, что обуславливается доступностью периферийных устройств из Интернета, обеспечением первоначального доступа без участия человека и возможностью повторной компрометации.

Кроме того, устройства безопасности и технологиями виртуализации относятся к платформам, в которых традиционно отсутствуют решения EDR, что еще больше снижает вероятность обнаружения и усложняет атрибуцию.

Так, в 2022 году Mandiant наблюдала, как китайский субъект кибершпионажа UNC3886 использовал несколько путей атаки и две 0-day, атакуя оборонно-промышленную базу (DIB), технологии и телекоммуникационные организации в США и Азии. Злоумышленники ограничили присутствие в сетях устройствами безопасности Fortinet и технологиями виртуализации VMware.

Пользовательское вредоносное ПО группы и эксплойты с приоритетом обходят журналы и элементы управления безопасностью, например, используя нетрадиционные протоколы (сокеты VMCI), которые не регистрируются по умолчанию и не имеют ограничений безопасности для взаимодействия между гипервизорами и гостевыми виртуальными машинами. UNC3886 также очистил и изменил журналы и отключил проверку файловой системы при запуске, чтобы избежать обнаружения. 

Злоумышленник использовал семейства вредоносных программ, предназначенных для взаимодействия с устройствами Fortinet, включая THINCRUST, CASTLETAP, TABLEFLIP и REPTILE. UNC3886 воспользовался уязвимостью обхода пути CVE-2022-41328, чтобы перезаписать законные файлы в обычно ограниченном системном каталоге.

Получив доступ к устройствам Fortinet целевых организаций, злоумышленник взаимодействовал с серверами VMware vCenter и использовал вредоносные VIB для установки бэкдоров VIRTUALPITA и VIRTUALPIE на гипервизоры ESXi. UNC3886 реализовал уязвимость обхода аутентификации CVE-2023-20867 на хостах ESXi, чтобы разрешить выполнение привилегированных команд на гостевых ВМ без создания дополнительных журналов.

Другим примером является эксплуатация 0-day (CVE-2023-2868) в устройствах Barracuda Email Security Gateway (ESG) китайским UNC4841 в рамках кампании, нацеленной на государственные и частные организации по всему миру в поиске информации, представляющей политический или стратегический интерес.

UNC4841 пытался скрыть элементы своей деятельности несколькими способами. В дополнение к схеме нападения на устройство безопасности UNC4841 отправлял электронные письма со специально созданными вложениями в виде файлов TAR, которые использовали CVE-2023-2868 и позволяли злоумышленникам выполнять произвольные системные команды с повышенными привилегиями.

UNC4841 также разработал специальное вредоносное ПО (включая SALTWATER, SEASIDE, SEASPY), встроил код бэкдора в модули Barracuda (включая SEASPRAY и SKIPJACK), а также использовал самозаверяющие временные или украденные сертификаты SSL для маскировки трафика C2.

Кроме того, Mandiant отмечает кампании кибершпионажа с использованием IoT-ботнетов, умных устройств и маршрутизаторов для маскировки внешнего трафика между инфраструктурой C2 и средами жертв, а также штаммов вредоносных ПО с функциями для скрытой ретрансляции трафика внутри целевых сетей. Среди замеченных акторов - APT41, APT31, APT15, TEMP.Hex и Volt Typhoon.

Мы отметили лишь два примера из длинного списка наблюдавшихся инцидентов кибершпионажа с использованием 0-day в продуктах безопасности и сетевых продуктах. В отчете представлен более полный перечень с подробным разбором и описанием деталей.