UNC3886 hackers use Linux rootkits to hide on VMware ESXi VMs https://t.co/XkjQA1o3ng

— Nicolas Krassas (@Dinosn) June 20, 2024

UNC3886 มีลักษณะที่มีความซับซ้อนและหลบเลี่ยง โดยใช้ประโยชน์จากช่องโหว่แบบ Zero-day เช่น CVE-2022-41328 (Fortinet FortiOS), CVE-2022-22948 (VMware vCenter) และ CVE-2023-20867 (VMware Tools) เพื่อปรับใช้ Backdoors และข้อมูลรับรองการรักษาความปลอดภัยที่เข้าถึงลึกยิ่งขึ้น พวกเขายังใช้ประโยชน์จาก CVE-2022-42475 ใน Fortinet FortiGate ไม่นานหลังจากการเปิดเผย จนถึงขณะนี้ การโจมตีหลายครั้งนี้ได้กำหนดเป้าหมายไปที่หน่วยงานต่างๆ ทั่วอเมริกาเหนือ เอเชียตะวันออกเฉียงใต้ โอเชียเนีย ยุโรป แอฟริกา และบางส่วนของเอเชีย โดยมุ่งเน้นไปที่ภาคส่วนที่สำคัญ เช่น หน่วยงานรัฐบาล โทรคมนาคม เทคโนโลยี การบินและอวกาศและการป้องกันประเทศ และพลังงาน กลยุทธ์สำคัญที่นี่คือการใช้รูทคิทที่เปิดเผยต่อสาธารณะ เช่น “Reptile” และ Medusa” เพื่อไม่ให้ถูกตรวจพบ Medusa ซึ่งใช้งานผ่านโปรแกรมติดตั้ง SEAELF จะบันทึกข้อมูลประจำตัวและคำสั่งของผู้ใช้ ช่วยในการ Lateral Movement ภายในเครือข่าย

UNC3886 ยังใช้แบ็คดอร์แบบกำหนดเองชื่อ MOPSLED และ RIFLESPINE เพื่อใช้ประโยชน์จากบริการต่างๆ เช่น GitHub และ Google Drive สำหรับการดำเนินการ Command และ Control (C2) เดิมเป็นวิวัฒนาการของมัลแวร์ Crosswalk ซึ่งสื่อสารผ่าน HTTP ด้วยเซิร์ฟเวอร์ GitHub C2 ในขณะที่แบบหลังทำงานข้ามแพลตฟอร์มโดยใช้ Google Drive สำหรับการถ่ายโอนไฟล์และการดำเนินการคำสั่งเมื่อพิจารณาถึงลักษณะภัยคุกคามที่กำลังพัฒนามากขึ้น องค์กรต่างๆ ควรปฏิบัติตามคำแนะนำด้านความปลอดภัยจาก Fortinet และ VMware เพื่อแก้ไขช่องโหว่ที่มีอยู่ การเพิ่มการมองเห็นเชิงลึก การตรวจสอบอย่างต่อเนื่อง และการวิเคราะห์แบบเรียลไทม์เป็นสองเท่าสามารถช่วยปกป้ององค์กรจาก Advanced persistent threats  (APT)