На мушке преступников – правительства и предприятия критической инфраструктуры.
Киберпреступная группа UNC3886 , связанная с Китаем и специализирующаяся на кибершпионаже, использует уязвимости нулевого дня в устройствах Fortinet , Ivanti и VMware , чтобы поддерживать доступ к скомпрометированным системам.
Исследователи из Mandiant Для просмотра ссылки Войдиили Зарегистрируйся что злоумышленники используют различные механизмы удержания доступа, включая сетевые устройства, гипервизоры и виртуальные машины. Это позволяет сохранять доступ даже при обнаружении и устранении основной угрозы.
Группа UNC3886 была охарактеризована экспертами как «изощрённая, осторожная и уклончивая». Она использует уязвимости нулевого дня, такие как Для просмотра ссылки Войдиили Зарегистрируйся (Fortinet FortiOS), Для просмотра ссылки Войди или Зарегистрируйся (VMware vCenter) и Для просмотра ссылки Войди или Зарегистрируйся (VMware Tools), чтобы внедрять вредоносные программы и получать доступ к учётным данным.
Атаки UNC3886 направлены в первую очередь на организации в Северной Америке, Юго-Восточной Азии и Океании. Также были зафиксированы случаи в Европе, Африке и других регионах Азии. В зоне риска находятся правительства, телекоммуникационные компании, технологические фирмы, оборонные предприятия и энергетические компании.
Одна из ключевых тактик UNC3886 — использование техник, позволяющих обходить системы безопасности и долгое время оставаться незамеченными. Для этого злоумышленники применяют публично доступные руткиты, такие как Reptile и Medusa, последняя из которых развёртывается с использованием компонента установки SEAELF.
На заражённых системах хакеры устанавливают бэкдоры MOPSLED и RIFLESPINE, использующие сервисы GitHub и Google Drive в качестве каналов для обмена C2-командами. MOPSLED является модульным имплантом, общающимся через HTTP, а RIFLESPINE — кроссплатформенным инструментом для передачи файлов и выполнения команд.
UNC3886 также применяет взломанные SSH-клиенты для сбора учётных данных и установку кастомных SSH-серверов. Среди других используемых вредоносных программ — LOOKOVER, сниффер для перехвата TACACS+ пакетов, и несколько бэкдоров, таких как VIRTUALSHINE, VIRTUALPIE и VIRTUALSPHERE, предназначенных для VMware.
Киберпреступники всё чаще используют сложные и изощрённые методы для длительного сохранения доступа к скомпрометированным системам, обходя средства безопасности и оставаясь незамеченными. Организациям рекомендуется своевременно устранять уязвимости и следовать рекомендациям поставщиков используемого программного обеспечения для защиты от подобных угроз.
Киберпреступная группа UNC3886 , связанная с Китаем и специализирующаяся на кибершпионаже, использует уязвимости нулевого дня в устройствах Fortinet , Ivanti и VMware , чтобы поддерживать доступ к скомпрометированным системам.
Исследователи из Mandiant Для просмотра ссылки Войди
Группа UNC3886 была охарактеризована экспертами как «изощрённая, осторожная и уклончивая». Она использует уязвимости нулевого дня, такие как Для просмотра ссылки Войди
Атаки UNC3886 направлены в первую очередь на организации в Северной Америке, Юго-Восточной Азии и Океании. Также были зафиксированы случаи в Европе, Африке и других регионах Азии. В зоне риска находятся правительства, телекоммуникационные компании, технологические фирмы, оборонные предприятия и энергетические компании.
Одна из ключевых тактик UNC3886 — использование техник, позволяющих обходить системы безопасности и долгое время оставаться незамеченными. Для этого злоумышленники применяют публично доступные руткиты, такие как Reptile и Medusa, последняя из которых развёртывается с использованием компонента установки SEAELF.
На заражённых системах хакеры устанавливают бэкдоры MOPSLED и RIFLESPINE, использующие сервисы GitHub и Google Drive в качестве каналов для обмена C2-командами. MOPSLED является модульным имплантом, общающимся через HTTP, а RIFLESPINE — кроссплатформенным инструментом для передачи файлов и выполнения команд.
UNC3886 также применяет взломанные SSH-клиенты для сбора учётных данных и установку кастомных SSH-серверов. Среди других используемых вредоносных программ — LOOKOVER, сниффер для перехвата TACACS+ пакетов, и несколько бэкдоров, таких как VIRTUALSHINE, VIRTUALPIE и VIRTUALSPHERE, предназначенных для VMware.
Киберпреступники всё чаще используют сложные и изощрённые методы для длительного сохранения доступа к скомпрометированным системам, обходя средства безопасности и оставаясь незамеченными. Организациям рекомендуется своевременно устранять уязвимости и следовать рекомендациям поставщиков используемого программного обеспечения для защиты от подобных угроз.
- Источник новости
- www.securitylab.ru