深度解析UNC3886攻击手法：防御关键基础设施威胁

关键要点

• UNC3886是一个APT组织，历史上针对关键基础设施，包括电信、政府、技术和国防部门，最近攻击了新加坡。
• 该组织以快速利用网络和虚拟化设备（如VMware vCenter/ESXi、Fortinet FortiOS和Juniper Junos OS）中的零日和高影响漏洞而闻名。
• UNC3886部署自定义工具集，包括TinyShell（隐蔽远程访问工具）和Reptile（隐蔽Linux rootkit），以及Medusa，利用分层持久化和高级防御规避方法，如rootkit部署、Living-off-the-Land策略以及替换/后门化核心系统二进制文件。
• Trend Vision One™检测并阻止本博客中强调的妥协指标（IOCs）。Trend Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告，以获取关于UNC3886的丰富上下文和最新更新。

背景介绍

7月18日，新加坡国家安全协调部长K. Shanmugam透露，该国正面临一个高度复杂的威胁行为者 targeting critical infrastructure—UNC3886。该高级持久威胁（APT）组织于2022年首次报告，一直 targeting essential services in Singapore，对其国家安全构成严重风险。

在本文中，我们借鉴了先前记录的UNC3886攻击的观察和战术、技术和程序（TTPs）。我们的目标是深入了解该威胁组织，并增强针对类似手法的整体防御态势。

UNC3886概述

UNC3886是一个网络间谍组织，其目标包括美国、欧洲和新加坡，目前 represents a significant threat。该组织以持久攻击方法闻名，专注于关键部门，如政府、电信、技术、国防、能源和公用事业。虽然首次报告于2022年，但有证据表明其活动可追溯至2021年底。

新加坡网络安全局（CSA）一直在积极调查UNC3886的活动，并监控所有关键服务部门。该组织的活动在新加坡部分关键信息基础设施中被检测到，这些基础设施支撑 essential services，突显了其对国家安全的严重威胁。尽管未披露具体受影响部门，但该机构强调需要保持操作安全，目前不进一步披露信息。

战术、技术和程序

UNC3886使用先进技术操作，主要针对网络设备、虚拟化系统（如VMware vCenter/ESXi、Fortinet FortiOS和Juniper Junos OS）和关键信息基础设施。该组织还以使用零日漏洞利用和部署自定义开源恶意软件而闻名，这些恶意软件专门设计用于规避检测并在目标网络中保持持久性。此外，UNC3886利用受害者系统上已有的工具进一步规避检测。

即使被检测和移除，该组织也 persistent and often attempts re-entry into the network。该组织的攻击链涉及多种先进技术，包括：

• 利用面向公众的应用程序进行初始访问（T1190）
• 使用有效账户进行持久化（T1078）
• 使用远程访问工具（T1219）和应用层协议（T1071）进行命令和控制。

这种先进和持久技术与战略目标的结合，使UNC3886成为一个需要高度警惕的组织。其过去的活动提供了对其能力、工具以及可能破坏其操作的有效防御的洞察。

我们仔细研究了UNC3886过去使用的技术、漏洞和其他战术，以了解其当前操作可能 still be their current operations。

表1. UNC3886 TTPs摘要

恶意软件和rootkits

如前所述，UNC3886使用了开源自定义恶意软件，设计用于 stealth and persistence，并经常使用在受感染主机上发现的合法工具来规避检测。该组织使用TinyShell、Reptile和Medusa，展示了其先进能力，凸显了其开发和部署针对Linux环境的复杂工具的能力。Trend™ Research分析并重新审视了该组织使用的恶意软件和rootkits，以更好地了解其操作方式。

TinyShell

TinyShell是一个轻量级、基于Python的远程访问工具（RAT）或后门。它通过HTTP/HTTPS提供远程命令执行和简单加密通信，使其非常适合 stealthy operations。UNC3886使用TinyShell demonstrates a focus on lightweight, agile attack tools that are highly effective in targeted, post-exploitation operations。

Reptile Linux rootkit

UNC3886使用Reptile Linux rootkit，该rootkit在内核级别操作。该rootkit的核心功能包括隐藏文件、进程和网络活动。它还可以为攻击者提供隐藏后门，允许他们在其他访问方法被发现和移除后重新获得对受感染系统的访问。值得注意的是，Reptile经常用于攻击中，以在目标系统中建立持久和隐蔽的立足点。它具有诸如端口敲门（通过发送特定序列的连接尝试秘密打开端口的方法）以及以root权限执行命令的功能。

安装： 在安装过程中，rootkit提示应启用哪些功能，如下所示：

功能： Reptile rootkit使用多个脚本文件，通过Linux机器上的“CMake”工具构建单个可执行文件。

• 隐藏进程：rootkit可以通过检查任务标志并更改它们来隐藏进程。这可以使用PID或文件名作为输入来完成。
• 隐藏目录：rootkit可以通过更改标志来隐藏目录。
• 文件内容篡改：rootkit具有篡改/更改文件内容的能力。
• 隐藏连接：rootkit具有通过列表系统隐藏/取消隐藏连接的能力。rootkit创建一个网络连接列表，然后隐藏这些连接。
• 后门：如果在安装期间初始化后门功能，则会自动创建以下配置。后门可以使用此凭据和连接执行命令。
• 加密：rootkit可用于使用随机生成的密钥加密文件。

Medusa rootkit

Medusa是另一个内核级rootkit，专门为Linux系统设计，据报道与Reptile一起被UNC3886使用。与Reptile类似，其主要功能包括隐藏恶意活动，如进程、文件和网络连接，使其对管理员和安全工具不可见。

通过在内核中操作，Medusa可以拦截系统调用并操纵其输出， effectively cloaking the presence of other malware and the attacker’s actions。最值得注意的是，Medusa用于在受感染的Linux服务器上保持隐蔽持久性，允许UNC3886在 extended periods 内未被检测地操作。它经常与其他工具结合使用，以促进命令和控制（C&C）通信和数据 exfiltration。

功能：

• PAM后门：Hook libpam认证系统调用，以持久化隐藏root用户
• 进程隐藏：Hooks rootkit可以拦截’kill’函数，防止用户终止rootkit进程。通过从系统中隐藏自己，rootkit可以保持未被检测并在系统上实现持久性。
• 文件隐藏：Hooks ‘stat’和’readdir’以隐藏文件和目录。
• 网络隐藏：Hooks ‘getaddrinfo’函数以过滤出它想要隐藏的远程主机的地址。通过使用这些技术，rootkit可以有效地隐藏网络活动，使其对用户和其他程序不可见。
• 反调试：还Hooks ‘kill’系统调用可以被拦截，以防止调试器向rootkit进程发送信号。通过规避调试，rootkit可以使安全研究人员更难发现和分析其行为。
• 认证日志记录：Hooks pam_prompt(), pam_vprompt和pam_syslog以记录所有成功认证 locally, or remotely via SSH to Medusa home directory
• 执行日志记录：Hooks syslog()和pam_syslog以记录所有成功认证 locally, or remotely via SSH to Medusa home directory

MopSled

MopSled是一个模块化、基于shellcode的后门，能够通过HTTP或自定义二进制协议 over TCP 与其C&C服务器通信。其核心功能 centered around extending its capabilities by downloading and executing plugins from the C&C server。此外，MOPSLED采用自定义实现的ChaCha20加密算法来解密嵌入和外部配置文件。

RifleSpine

RifleSpine是一个跨平台后门，使用Google Drive进行文件传输和命令执行。它使用CryptoPP库实现AES加密算法，保护在受感染系统和威胁行为者之间传输的数据。

CastleTap

CastleTap是一个被动后门，针对FortiGate防火墙，伪装成合法文件’/bin/fgfm’以模仿真实的’fgfmd’服务。该恶意软件在检测到包含特定魔法字符串的特殊 crafted ICMP packets 时激活，然后建立加密SSL连接到命令和控制服务器。一旦连接，CastleTap为攻击者提供全面的远程访问能力，包括文件上传/下载、命令shell访问以及对受感染防火墙系统的持久控制。

已知使用的CVE

该组织使用的CVE的共同点是，它们针对高特权、广泛部署、经常被忽视的系统，以启用 impactful techniques（RCE、权限提升、持久化、横向移动）。这与APT组织的目标一致，即在高价值目标中最大化 stealth、impact和persistence。

建议组织应用UNC3886使用的CVE的最新供应商补丁。根据其报告的历史活动，我们在此列出它们：

• CVE-2023-34048：vCenter Server包含DCERPC协议实现中的越界写入漏洞。具有vCenter Server网络访问权限的恶意行为者可能触发越界写入， potentially leading to remote code execution。该漏洞利用 enables unauthenticated remote command execution on vulnerable vCenter servers。Mandiant observed deployment of attacker backdoors minutes after crashing of the vulnerable VMware service。
• CVE-2022-41328：Fortinet FortiOS版本7.2.0至7.2.3、7.0.0至7.0.9和6.4.11之前中的路径遍历漏洞（CWE-22）允许特权攻击者通过 crafted CLI commands 在底层Linux系统上读写文件。在FortiOS中 exploited to download and execute backdoors on FortiGate devices。
• CVE-2022-22948：vCenter Server包含由于文件权限不当而导致的信息披露漏洞。具有vCenter Server非管理访问权限的恶意行为者可能利用此问题 gain access to sensitive information。在VMware vCenter中 exploited to obtain encrypted credentials in the vCenter’s postgresDB for further access。
• CVE-2023-20867：完全 compromised ESXi host 可以强制VMware Tools fail to authenticate host-to-guest operations， impacting the confidentiality and integrity of the guest virtual machine。在VMware Tools中 exploited to execute unauthenticated Guest Operations from ESXi host to guest virtual machines。
• CVE-2022-42475：允许远程未认证攻击者通过 specifically crafted requests 执行任意代码或命令。
• CVE-2025–21590：Juniper Networks Junos OS内核中的安全缺陷涉及 insufficient system separation，允许具有管理权限的认证本地用户损害设备安全。获得shell级访问权限的攻击者可以插入恶意代码，可能导致 full system compromise。此漏洞无法通过Junos命令行界面触发，且仅限于Junos OS平台。

自带SSH服务器（BYOSSH）

除了部署后门SSH二进制文件以收集凭据外，该威胁行为者还被观察到使用MEDUSA rootkit安装自定义SSH服务器， serving the same malicious purpose。

使用Trend Vision One™进行主动安全

Trend Vision OneTM是唯一一个AI驱动的企业网络安全平台，集中了网络风险暴露管理、安全操作和强大的分层保护。这种全面方法帮助您预测和预防威胁，加速在整个数字资产中的主动安全结果。借助Trend Vision One，您能够消除安全盲点，专注于最重要的事情，并将安全提升为创新的战略合作伙伴。

Trend保护规则和过滤器

TippingPoint

• 42855: HTTP: Fortinet FortiOS Heap Buffer Overflow Vulnerability CVE-2022-42475
• 44482: File Propagation Filter for Trojan.Linux.EfPSixSSH.A
• 45162: C2 filter for Trojan.Linux.Tableflip.A
• 45756: C2 filter for TinyShell/Backdoor.Linux.Lmpad.A
• 45768: File Propagation Filter for TinyShell/Backdoor.Linux.Jdosd.A
• 45770: C2 filter for TinyShell / Backdoor.Linux.Irad.A

Deep Discovery Inspector (DDI)

• 4525: CVE-2021-21972 - VSPHERE RCE EXPLOIT - HTTP (REQUEST)

Trend Vision One™威胁情报

为了领先于 evolving threats，Trend客户可以访问Trend Vision One™ Threat Insights，提供来自Trend Research的关于 emerging threats and threat actors 的最新洞察。

Trend Vision One Threat Insights

• Emerging Threats: Advanced Threat Actors on the Rise: UNC3886’s Persistent Operations Revealed

狩猎查询 Trend Vision One Search App Trend Vision One客户可以使用Search App来匹配或狩猎本博客文章中提到的恶意指标与其环境中的数据。

• UNC3886 APT检测 malName:*TINYSHELL* AND eventName:MALWARE_DETECTION AND LogType: detection
• 更多狩猎查询可用于具有 Threat Insights entitlement enabled 的Trend Vision One客户。

妥协指标（IoCs）

本文章的妥协指标可在此处找到。

标签

APT & Targeted Attacks | Articles, News, Reports

作者

• Cj Arsley Mateo, Threat Analyst
• Ieriz Nicolle Gonzalez, Threat Analyst
• Jacob Santos, Threat Analyst
• Paul John Bardon, Threat Hunter
• Angelo Junio, Sr. Threat Solution Engineer
• Rayven Cervantes, Sr. Threat Solution Engineer

相关文章

• Gunra Ransomware Group Unveils Efficient Linux Variant
• Preventing Zero-Click AI Threats: Insights from EchoLeak
• Unlocking the Power of Amazon Security Lake for Proactive Security

查看所有文章