UNC3886 Uses Fortinet, VMware 0-Days and Stealth Tactics in Long-Term Spying
2024/06/19 TheHackerNews — Fortinet/Ivanti/VMware デバイスのゼロデイ脆弱性を悪用する、中国由来のサイバースパイ・アクターたちは、侵害した環境への自由なアクセスを維持するために、複数の永続化メカニズムを利用していることが確認されている。Mandiant の研究者たちは、「彼らの持続性メカニズムの対象となるのは、ネットワークデバイス/ハイパーバイザー/仮想マシンなどであり、プライマリ・レイヤーが検出/排除された場合であっても、代替チャネルが利用可能であることを保証している」と、最新レポート述べている。問題となっている脅威の主体は UNC3886 であり、Mandiant は、「洗練され、慎重で、回避的である」と評している。
UNC3886 による組織化された攻撃は、CVE-2022-41328 (Fortinet FortiOS)/CVE-2022-22948 (VMware vCenter)/CVE-2023-20867 (VMware Tools) などのパッチ未適用の脆弱性を悪用することで、バックドアの展開から攻撃を開始し、より深いアクセスを達成するための認証情報の取得にいたるまでの、さまざまな悪意のアクションを実行していく。また、Fortinet FortiGate に影響を及ぼす脆弱性 CVE-2022-42475 を悪用するケースも、この欠陥に関する情報が公開された直後から確認されている。
これらの侵入は、主として北米/東南アジア/オセアニアの事業体を標的としており、ヨーロッパ/アフリカ/アジアでも被害が確認されている。標的とされた分野は、政府機関/テレコム/テクノロジー/航空宇宙/防衛/エネルギー/公益セクターなどの多岐にわたる。
UNC3886 の特筆すべき戦術は、セキュリティ・ソフトウェアを回避し、政府機関や企業のネットワークに潜り込み、長期間にわたって検知されることなく、被害者をスパイする技術を開発したことである。
その戦術には、ゲスト仮想マシン (VM) 上で用いられる、Reptile や Medusa などの一般に入手可能な rootkit も含まれており、後者については、SEAELF と名付けられたインストーラ・コンポーネントも使用されているという。
Mandiant は、「REPTILEとは異なり、Medusa は rootkit の機能を備えた対話型アクセスに加えて、ローカル/リモートで認証に成功したユーザー認証情報をログに記録し、コマンドを実行する機能を備えている。それらの機能は、UNC3886 が有効な認証情報を悪用して、横方向に移動する手段として有効に機能している」と指摘している。
また、GitHub や Google Drive などの信頼できるサービスを C2 チャネルとして悪用する、MOPSLED と RIFLESPINE と呼ばれる2つのバックドアも、システム上に配信されている。
MOPSLED は、Crosswalk マルウェアの進化版と思われる。GitHub C2 サーバからプラグインを取得するための、HTTP 通信するシェルコード・ベースのモジュラー・インプラントとして機能する。そして RIFLESPINE は、ファイル転送とコマンド実行のために、Google Drive を悪用するクロス・プラットフォーム・ツールである。
Mandiant の発見には、UNC3886 が CVE-2023-20867 を悪用した後に、バックドア SSH クライアントを展開して認証情報を取得していること、さらに、MEDUSA を活用してカスタム SSH サーバをセットアップしていることも含まれる。
同社は、「TACACS サーバを標的にすることで、ネットワーク・アプライアンスへのアクセスを拡大しようとする最初の試みは、LOOKOVER を使用することだった。LOOKOVER とは、C 言語で書かれたスニッファーであり、TACACS+ における認証パケットの処理と復号化を行い、その内容を指定されたファイルパスに書き込むものだ」と指摘している。
VMware インスタンスを狙う攻撃のプロセスで配信された、その他のマルウェア・ファミリーの一部は以下の通りである。
- 正規の TACACS デーモンをトロイの木馬化したもの:クレデンシャル・ロギング機能を持つ。
- VIRTUALSHINE:VMware の VMCI ソケットベースのバックドアであり、bash シェルへのアクセスを提供する。
- VIRTUALPIE:ファイル転送/任意のコマンド実行/リバース・シェル機能をサポートする Python バックドア。
- VIRTUALSPHERE:VMCI ベースのバックドアに関連するコントローラ・モジュール。
仮想マシンはクラウド環境で、長年にわたり広く使用されているため、脅威アクターにとって魅力的な標的となっている。
Palo Alto Networks – Unit 42 は、「侵害された VM は、VM インスタンス内のデータだけではなく、VM インスタンスに割り当てられている権限へのアクセスを、攻撃者に提供する可能性がある。VM のようなコンピューティング・ワークロードは、一般的に短命かつ不変であるため、侵害された ID がもたらすリスクは、VM 内のデータが侵害されるリスクよりも、間違いなく大きいはずだ」と指摘している。
ユーザー組織に推奨されるのは、Fortinet と VMware のセキュリティ・アドバイザリに従って、潜在的な脅威からの保護を実施することだ。
UNC3886 について、このブログ内を調べてみたら、2024/02/20 の「VMware 警告:Enhanced Authentication Plugin の脆弱性 CVE-2024-22245/CVE-2024-22250 に注意」と、2024/02/29 の「Ivanti Connect Secure VPN の脆弱性:中国由来ハッカーによるマルウェア展開で悪用」に登場していました。Fortinet の CVE-2022-41328/CVE-2022-42475 と、VMware の CVE-2022-22948/CVE-2023-20867 が狙われているとのことなので、ご利用のチームは、十分にお気をつけください。
IoT OT Security News 
You must be logged in to post a comment.