UNC3886: угроза критической инфраструктуре через уязвимости нулевого дня

UNC3886 – опасная APT-группа, атакующая критически важную инфраструктуру

Группа UNC3886, относящаяся к категории APT (Advanced Persistent Threat), специализируется на целевых атаках на критически важные инфраструктуры в таких секторах, как телекоммуникации, государственное управление, технологии, оборона, энергетика и коммунальные услуги. Активная с конца 2021 года и впервые зарегистрированная в 2022 году, эта группа представляет значительную угрозу национальной безопасности, особенно учитывая их недавнюю активность в Сингапуре.

Методы и тактики UNC3886

UNC3886 использует сложный арсенал методов и средств для кибершпионажа, включая эксплоиты уязвимостей нулевого дня (zero-day) в популярных сетевых и виртуализационных продуктах:

• VMware vCenter/ESXi;
• Fortinet FortiOS;
• Juniper Junos OS.

Тактика, методы и процедуры (TTP) группы характеризуются использованием различных кастомных инструментов, направленных на скрытность и устойчивость:

• TinyShell — инструмент скрытого удаленного доступа, работающий по протоколам HTTP / HTTPS с зашифрованным трафиком;
• Reptile — руткит для Linux, способный скрывать файлы и процессы и создавать постоянный бэкдор в системе;
• руткит Medusa, перехватывающий системные вызовы для маскировки вредоносных действий;
• модульные бэкдоры MopSled и RifleSpine, использующие шифрование для безопасной связи с серверами C2 (Command and Control).

Используемые уязвимости и их последствия

UNC3886 активно эксплуатирует уязвимости с высоким уровнем риска, позволяющие злоумышленникам получить аутентифицированный доступ к ключевым системам и выполнить:

• удаленное выполнение кода (RCE);
• повышение привилегий;
• установку постоянного доступа (persistence).

Наиболее распространённые эксплуатируемые уязвимости включают:

• CVE-2023-34048 в VMware vCenter — удалённое выполнение кода без необходимости аутентификации;
• CVE-2022-41328 в Fortinet FortiOS — возможность чтения и записи файлов в базовой Linux-системе;
• CVE-2022-22948 в VMware vCenter — несанкционированный доступ к конфиденциальной базе данных.

Эксплуатация этих уязвимостей позволяет UNC3886 не только нарушать работу систем, но и эффективно развёртывать дополнительные вредоносные инструменты с минимальным риском обнаружения.

Стратегия и рекомендации по защите

Группа UNC3886 применяет продвинутые методы уклонения от обнаружения, включая:

• использование легитимных средств и встроенных возможностей системы (living off the land);
• шифрование коммуникаций для защиты от перехвата;
• маскировку своей активности, чтобы оставаться незаметной длительное время.

Деятельность UNC3886 подчёркивает необходимость постоянной бдительности со стороны организаций, а также своевременного применения обновлений безопасности, особенно для критически важных систем и сетевых устройств.

«С серьёзным характером угроз, исходящих от UNC3886, современный ландшафт киберугроз требует адаптивных и комплексных мер защиты, основанных на актуальной информации и оперативном реагировании», — отмечают эксперты по кибербезопасности.

В условиях роста числа атак со стороны таких высококвалифицированных групп APT, предприятиям необходимо:

• регулярно обновлять программное обеспечение;
• проводить аудит безопасности;
• использовать многофакторную аутентификацию и средства мониторинга;
• обучать сотрудников методам противодействия фишинговым и другим социальным атакам.

Сохранение такой комплексной стратегии позволит минимизировать риски и повысить устойчивость инфраструктуры к атакам UNC3886 и других подобных групп.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.