Исследователи из Mandiant раскрыли масштабные кибератаки, организованные китайской хакерской группой UNC3886, которая действует при поддержке государства. Источник: Google Mandiant
Согласно детальному отчету команды Google Mandiant по анализу угроз, эта группа кибершпионов нацелена на крупные компании по всему миру, работающие в стратегически важных секторах.
В результате углубленного анализа были выявлены методы UNC3886, включающие использование уязвимостей нулевого дня и внедрение сложных вредоносных программ, что позволило злоумышленникам сохранять постоянный доступ к зараженным системам.
Отчет описывает детально действия UNC3886, раскрывая их тактику и методы атак.
Расследование Mandiant показало, что обширная киберкампания группы началась в конце 2021 года, когда они воспользовались критической уязвимостью (CVE-2023-34048) на серверах VMware vCenter для получения несанкционированного удаленного доступа.
Кроме того, Mandiant отметила, что CVE-2023-34048 была лишь одной из нескольких уязвимостей нулевого дня, использованных UNC3886. Хакеры также применили три другие уязвимости нулевого дня, чтобы получить доступ, когда использование существующих учетных данных было невозможно.
Согласно отчету, группа демонстрировала высокий уровень операционной безопасности, применяя передовые методы уклонения, включая использование известных руткитов, таких как REPTILE и MEDUSA. Эти руткиты предоставляли злоумышленникам постоянный доступ и помогали скрывать их деятельность от обнаружения.
Mandiant также выявила, что UNC3886 использовала доверенные сторонние сервисы, такие как GitHub и Google Drive, для управления и контроля своих вредоносных программ. Этот подход позволил им скрываться в легальном сетевом трафике, затрудняя их обнаружение.
Особенно тревожным стало то, что в отчете были раскрыты попытки UNC3886 подорвать безопасность и украсть учетные данные с серверов аутентификации TACACS+, используемых сетевыми устройствами для централизованного контроля доступа.
Отмечается, что несанкционированный доступ к серверу аутентификации, такому как TACACS+, представляет собой серьезную угрозу безопасности, поскольку злоумышленники могут получить доступ к учетным данным пользователей и манипулировать политиками авторизации, хранящимися в базе данных.
Успешное взлом этой критически важной инфраструктуры может предоставить злоумышленникам доступ к стратегическим сетям и системам.
Отчет Mandiant подчеркивает глобальный характер операций UNC3886: подтвержденные жертвы охватывают Северную Америку, Юго-Восточную Азию, Океанию, Европу, Африку и другие регионы Азии. Цели атак включают правительства, телекоммуникации, технологии, аэрокосмическую промышленность, оборону и энергетику.
В ответ на выявленные угрозы Mandiant выпустила рекомендации по обнаружению и усилению защиты, а также индикаторы компрометации (IoC), чтобы помочь организациям защититься от возможных атак UNC3886.
Кроме того, Mandiant сотрудничает с Google, предоставляя правила и информацию об угрозах клиентам SecOps Enterprise+.
Напомним, ранее утечка документов компании i-Soon, китайской технологической фирмы, пролила свет на использование в китайской кибервойне частных подрядчиков. Исходя из информации утечки, i-Soon предоставляла услуги кибершпионажа и кибератак китайскому правительству и спонсируемым государством группам.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet