UNC3886 APT IOCs

security IOC

В середине 2022 года компания Mandiant в сотрудничестве с Fortinet исследовала эксплуатацию и развертывание вредоносного ПО на нескольких решениях Fortinet, включая FortiGate (межсетевой экран), FortiManager (решение для централизованного управления) и FortiAnalyzer (платформа управления журналами, аналитики и отчетности).

Следующие шаги в целом описывают действия, которые предпринял агент угрозы:

  • Использовал эксплойт нулевого дня (CVE-2022-41328) для обхода локальных каталогов, чтобы записывать файлы на диски межсетевого экрана FortiGate за пределами обычных границ, разрешенных при доступе через оболочку.
  • Поддерживался постоянный доступ с привилегиями супер администратора в межсетевых экранах FortiGate через стук в ICMP порт.
  • Обход правил брандмауэра, действующих на устройствах FortiManager, с помощью утилиты пассивного перенаправления трафика, что позволяло продолжать соединения с постоянными бэкдорами с привилегиями супер администратора.
  • Установил постоянство на устройствах FortiManager и FortiAnalyzer через пользовательскую конечную точку API, созданную внутри устройства
  • Отключение проверки цифровой подписи OpenSSL 1.1.0 системных файлов путем целенаправленного повреждения загрузочных файлов.

Mandiant приписывает эту активность UNC3886, группе, которая, как мы подозреваем, имеет китайское происхождение и связана с новой структурой вредоносного ПО для гипервизора VMware ESXi, раскрытой в сентябре 2022 года. Во время компрометации гипервизора ESXi компания Mandiant неоднократно наблюдала прямое подключение UNC3886 с устройств FortiGate и FortiManager к бэкдорам VIRTUALPITA.

Mandiant подозревает, что устройства FortiGate и FortiManager были скомпрометированы из-за соединений с VIRTUALPITA с IP-адресов управления Fortinet. Кроме того, устройства FortiGate, соответствующие федеральным стандартам обработки информации (FIPS), были скомпрометированы.

Indicators of Compromise

MD5

  • 3e43511c4f7f551290292394c4e21de7
  • 53a69adac914808eced2bf8155a7512d
  • 64bdf7a631bc76b01b985f1d46b35ea6
  • 88711ebc99e1390f1ce2f42a6de0654d
  • 9ce2459168cf4b5af494776a70e0feda
  • a388ebaef45add5da503e4bf2b9da546
  • a86a8fe875a89816e5808588154a067e
  • b6e92149efaf78e9ce7552297505b9d5
  • e2d2884869f48f40b32fb27cc3bdefff

SHA1

  • 1a077212735617a665a6b631e34a6aedcbc41713
  • 3109b890901499f7ebb90f8870a7d1617d27e7c9
  • 75c092098e3409d366a46fdde6a92ff97d29cee1
  • 86f3623b3fb8d5303b6c9d8295292a5c2ceb2889
  • 8c40fc87fa3b25a559585b10a8ca11c81fb09f75
  • 8ef5159944d048fe84e51a818c9b11ebcfa98517
  • 9dca7f1af5752bb007e5cc55acd2511f03049ee5
  • b8bdaa1bd204a6c710875b0c4265655d1fd37d52
  • d5f8436e9815358e33b8243abda76c9b398943e2

SHA256

  • 18afbad17dee0e4330a85b782e8e580c6125d8a7127cda69ad0e2728d505a6f5
  • 2266667af7532a32b9c21c330a9fe56356ca66610e39654804a7262f2af61017
  • 245e4646e5d984c2da4cfe223bb2fae679441bcf42b254fc193ae97dc32af7ad
  • 33c22b2db8c0948c67204485972d2eb856e13dca16132371337fc3534e3df16d
  • 4e4c5e5ca588bd84b67a37b654ec522768fa83e535ff795a5c196da8f8b9737d
  • 9fb09fe6db61fbdd19ac9c368e2f64fb9606119649830762fa467719c480ed44
  • a00fed53b1ece4610c8b52934c20af3667d455f092a77f8d9bc46fdb9047e41a
  • abefe121e5c895bf63be80152ccbe2d7bb5ad985aa3ab989bcb7c0804b90d004
  • eb6af99148f0ce5b58e414162ff2b7567b4cf08953862a088996365ff306014b
SEC-1275-1
Добавить комментарий