Китайське хакерське угрупування UNC3886 використовує загальнодоступні руткіти з відкритим кодом під назвами Reptile та Medusa, щоб залишатися прихованими на віртуальних машинах VMware ESXi для крадіжки облікових даних. Про це повідомляє BleepingComputer.
Раніше повідомлялось про атаки на державні організації з використанням вразливостей нульового дня Fortinet і двох вразливостей нульового дня VMware, які використовувалися протягом тривалого часу.
У новому звіті Mandiant розкривається використання UNC3886 згаданих руткітів на віртуальних машинах для довготривалої стійкості та уникнення виявлення, а також спеціальні інструменти зловмисного програмного забезпечення, такі як Mopsled і Riflespine, які використовували GitHub і Google Drive для командування та контролю.
Останні атаки UNC3886, за даними Mandiant, були націлені на організації в Північній Америці, Південно-Східній Азії та Океанії, а додаткові жертви виявлені в Європі, Африці та інших частинах Азії. Від атак постраждали уряди, телекомунікації, технології, аерокосмічна промисловість, оборона, енергетика та комунальні сектори.
У Mandiant виявили, що зловмисники атакують віртуальні машини VMware ESXi та встановлюють руткіти з відкритим кодом, щоб підтримувати доступ для довгострокових операцій.
Руткіт – це шкідливе програмне забезпечення, яке дає змогу зловмисникам запускати програми та вносити зміни, недоступні для перегляду користувачам операційної системи. Цей тип зловмисного програмного забезпечення дозволяє суб’єктам загрози приховувати свою присутність під час зловмисної поведінки.
«Після використання вразливостей нульового дня для отримання доступу до серверів vCenter і згодом керованих серверів ESXi актор отримав повний контроль над гостьовими віртуальними машинами, які спільно використовували той самий сервер ESXi, що й сервер vCenter», – пояснили у Mandiant.
Reptile – це руткіт Linux із відкритим вихідним кодом, реалізований як завантажуваний модуль ядра (LKM). Він призначений для забезпечення доступу через бекдор і сприяння прихованому зберіганню.
UNC3886 модифікував руткіт для використання унікальних ключових слів для різних розгортань, а також вніс зміни до механізму запуску руткіта і сценаріїв запуску, спрямованих на підвищення стійкості та прихованості.
Другий руткіт із відкритим вихідним кодом, який хакери використовують в атаках, – це Medusa.
Функціональна спрямованість Medusa – реєстрація облікових даних, перехоплення паролів облікових записів від успішних локальних і віддалених входів. Також він веде журнал виконання команд, надаючи зловмисникам інформацію про дії жертви та уявлення про скомпрометоване середовище.
У Mandiant зазначили, що Medusa зазвичай розгортається після Reptile як додатковий інструмент з використанням окремого компонента під назвою Seaelf.
Деякі налаштування також спостерігалися на Medusa, коли UNC3886 вимикав певні фільтри та змінював рядки конфігурації.
Раніше ProIT повідомляв, що IBM і Fortinet випустили віртуальний пристрій для захисту хмарної безпеки.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!