UNC3886: опасный APT-группа, атакующая критическую инфраструктуру с помощью уязвимостей и руткитов

Описание угрозы

UNC3886 - это APT-группа, известная своими сложными и скрытыми атаками. Впервые о её активности стало известно в 2022 году, однако есть данные, что она действовала ещё с конца 2021-го. Основные цели - государственные учреждения, телекоммуникационные компании, IT-сектор и оборонные предприятия. Группа активно использует уязвимости нулевого дня в сетевом оборудовании и виртуализированных средах, включая VMware vCenter/ESXi, Fortinet FortiOS и Juniper Junos OS.

Тактики и инструменты

UNC3886 применяет сложные методы для проникновения, уклонения от обнаружения и поддержания доступа. Среди основных инструментов группы - TinyShell, Reptile и Medusa. TinyShell - это легковесный Python-бэкдор, позволяющий выполнять команды удалённо через HTTP/HTTPS. Reptile и Medusa - это Linux-руткиты уровня ядра, способные скрывать процессы, файлы и сетевую активность, а также предоставлять скрытый доступ.

Группа также использует уязвимости в популярном ПО, включая CVE-2023-34048 (уязвимость в vCenter Server, приводящая к удалённому выполнению кода), CVE-2022-41328 (обход ограничений в FortiOS) и CVE-2022-22948 (утечка данных в vCenter). Эти уязвимости позволяют злоумышленникам получать доступ к системам, распространяться внутри сетей и долгое время оставаться незамеченными.

Продолжительные и скрытые атаки

UNC3886 отличается настойчивостью: даже после обнаружения и удаления её инструментов группа часто пытается вернуться в систему. Она использует методы "живучести", такие как подмена системных бинарников, применение стандартных инструментов операционной системы (Living-off-the-Land) и внедрение руткитов. Это делает её атаки крайне сложными для обнаружения и устранения.

Кроме того, группа активно использует методы уклонения от обнаружения, включая маскировку под легитимные процессы, шифрование трафика и скрытие сетевых соединений. Например, руткит Reptile может скрывать определённые сетевые подключения, а Medusa способен перехватывать системные вызовы, изменяя их вывод для обхода мониторинга.

Атаки на Сингапур

В июле 2024 года власти Сингапура подтвердили, что группа атаковала критическую инфраструктуру страны. Хотя точные отрасли не названы, очевидно, что действия UNC3886 представляют серьёзную угрозу для национальной безопасности. Кибербезопасность Сингапура активно анализирует активность группы, но из соображений секретности детали не раскрываются.

Заключение

UNC3886 - это высококвалифицированная APT-группа, использующая сложные методы для атак на критически важные объекты. Её деятельность требует постоянного мониторинга и обновления защитных механизмов. Анализ прошлых атак помогает лучше понять её тактику и усилить защиту от будущих угроз. Важно своевременно обновлять ПО, проводить мониторинг сетевой активности и обучать сотрудников кибербезопасности для противодействия таким сложным атакам.

IPv4

• 103.232.86.209
• 103.232.86.210
• 103.232.86.217
• 118.193.61.71
• 118.193.61.78
• 118.193.63.40
• 123.58.196.34
• 123.58.207.86
• 149.28.122.119
• 152.32.129.62
• 152.32.144.15
• 152.32.205.208
• 152.32.231.251
• 154.216.2.149
• 155.138.161.47
• 165.154.134.40
• 165.154.135.108
• 165.154.7.145
• 207.246.64.38
• 45.32.252.98
• 45.77.106.183
• 47.246.68.13
• 47.252.54.82
• 58.64.204.139
• 58.64.204.142
• 58.64.204.165
• 8.210.103.134
• 8.210.75.218
• 8.219.0.112
• 8.219.131.77
• 8.222.216.144
• 8.222.218.20

IPv4 Port Combinations

• 101.100.182.122:22
• 116.88.34.184:22
• 118.189.188.122:22
• 129.126.109.50:22
• 158.140.135.244:22
• 223.25.78.136:22
• 45.77.39.28:22
• 8.222.225.8:22

SHA256

• 1893523f2a4d4e7905f1b688c5a81b069f06b3c3d8c0ff9d16620468d117edbb
• 5bef7608d66112315eefff354dae42f49178b7498f994a728ae6203a8a59f5a2
• 71234dea18a33848c80cdec8b547a3b7a370ad2718c21b0a4121f12fd9dfa50b