Ataques persistentes y evasivos del grupo de Hackers UNC3886

TEAM CSIRT

Un grupo de actores de amenazas, identificado como UNC3886 y presuntamente vinculado a China, ha estado utilizando rootkits de código abierto y vulnerabilidades de día cero en VMware ESXi y Fortinet para realizar ataques persistentes y altamente evasivos. Estos ataques han afectado a organizaciones de diversos sectores en todo el mundo, incluyendo gobiernos, telecomunicaciones, tecnología, defensa, y energía.

Un rootkit es un tipo de software malicioso que se utiliza para acceder de manera ilegítima a un sistema informático sin dejar rastro alguno y obtener el control de este.

Detalles del ataque:

UNC3886 ha sido rastreado por la firma de ciberseguridad norteamericana Mandiant, que ha documentado el uso de rootkits como Reptile y Medusa en máquinas virtuales VMware ESXi para mantener el acceso a largo plazo y evadir la detección. Estos rootkits permiten el robo de credenciales, la ejecución de comandos y el movimiento lateral dentro de las redes comprometidas.

Los actores de amenazas explotaron vulnerabilidades de día cero como CVE-2022-41328 (Fortinet FortiOS), CVE-2022-22948 (VMware vCenter), y CVE-2023-20867 (VMware Tools) para infiltrarse en los servidores vCenter y, subsecuentemente, en los servidores ESXi gestionados. Una vez dentro, instalaron rootkits para mantener el acceso y evadir la detección.

A continuación, se describen las herramientas utilizadas en los ataques.

Reptile Rootkit

  • Se trata de un módulo de kernel de Linux que proporciona acceso de puerta trasera y persistencia sigilosa.
  • Componentes:
    REPTILE.CMD para ocultar archivos, procesos y conexiones de red.
    REPTILE.SHELL para recibir comandos de activación y proporcionar un canal oculto para la ejecución de comandos remotos.
  • Es necesario destacar que UNC3886 personalizó el rootkit Reptile para mejorar la evasión y persistencia.

Medusa Rootkit

  • Enfocado en el registro de credenciales, capturando contraseñas de cuentas de inicios de sesión locales y remotos.
  • Utiliza el componente Seaelf para su despliegue.
  • Capaz de registrar la ejecución de comandos, proporcionando a los atacantes información sobre las actividades de las víctimas.

Además de los rootkits, UNC3886 utilizó herramientas personalizadas como:

  • Mopsled: Un backdoor modular basado en shellcode que se comunica a través de HTTP para recuperar y ejecutar plugins.
  • Riflespine: Un backdoor multiplataforma que usa Google Drive para comando y control (C2).
  • Lookover: Un sniffer personalizado para capturar credenciales TACACS+.
  • Backdoored SSH execs: Versiones modificadas de clientes y demonios SSH para capturar credenciales.
  • VMCI backdoors: Incluyen VirtualShine, VirtualPie, y VirtualSphere, facilitando la comunicación entre máquinas virtuales huésped y host.

Productos afectados:

  • VMware ESXi: Máquinas virtuales comprometidas mediante vulnerabilidades de día cero.
  • Fortinet FortiOS y FortiGate: Vulnerabilidades explotadas para obtener acceso inicial y mover lateralmente dentro de la red.

Solución:

  • Tener todas las instancias de VMware ESXi y Fortinet FortiOS actualizadas con los últimos parches de seguridad.
  • Implementar herramientas de monitoreo y detección avanzadas para identificar comportamientos anómalos y posibles compromisos.
  • Aplicar configuraciones de seguridad robustas y deshabilitar servicios innecesarios para reducir la superficie de ataque.

Recomendaciones:

  • Implementar medidas de seguridad adicionales para detectar y bloquear rootkits en entornos virtualizados.
  • Revisar y aplicar las actualizaciones y parches de seguridad proporcionados por VMware y Fortinet de manera regular.
  • Configurar controles de acceso estrictos y utilizar autenticación multifactor para proteger las credenciales y accesos privilegiados.

Referencias: