In einer aktuellen Veröffentlichung hat das Sicherheitsunternehmen Mandiant Aktivitäten des Cyberakteurs UNC3886 aufgedeckt, welcher weltweit strategisch wichtige Organisationen angegriffen hat. Die Gruppe, die mutmaßlich mit der Volksrepublik China in Verbindung steht, hat Schwachstellen in VMware- und Fortinet-Technologien ausgenutzt, um sich langfristigen Zugang zu kompromittierten Systemen zu verschaffen. Die genannten Schwachstellen ermöglichten es den Angreifern, auf den Systemen Befehle auszuführen und Backdoors zu installieren. Nachdem sie sich Zugang verschafft hatten, setzten sie verschiedene Methoden ein, um ihren Zugriff zu sichern, unter anderem durch den Einsatz von Rootkits und benutzerdefinierter Malware.
Besonders hervorzuheben ist der Einsatz der Rootkits REPTILE und MEDUSA, welche den Angreifern die Möglichkeit bieten, ihren Zugriff auf die kompromittierten Systeme zu verschleiern und aufrechtzuerhalten. Darüber hinaus wurden angepasste SSH-Clients und -Daemons installiert, um Anmeldeinformationen zu sammeln. Des Weiteren wurden Malware-Komponenten wie MOPSLED und RIFLESPINE eingesetzt, welche die vertrauenswürdigen Drittanbieter-Dienste Google Drive zur C2-Kommunikation nutzen.
Ein weiterer zentraler Aspekt der Angriffe war das aktive Sammeln von Anmeldeinformationen, um sich lateral durch die Netzwerke zu bewegen. UNC3886 führte Netzwerkscans durch und griff TACACS+-Server an, um Zugang zu Netzwerkgeräten zu erhalten. Die Angreifer setzten auch NMAP für detaillierte Netzwerkscans ein und nutzten spezielle Tools wie LOOKOVER, um TACACS+-Anmeldeinformationen abzufangen. Um sich vor solchen Angriffen zu schützen, ist es unerlässlich, dass alle Systeme regelmäßig aktualisiert werden, insbesondere VMware- und Fortinet-Produkte. Die von Mandiant bereitgestellten Indicators of Compromise (IOC) sollten genutzt werden, um verdächtige Aktivitäten in Netzwerken zu identifizieren. Zudem ist es wichtig, die Sicherheitsrichtlinien aus den VMware- und Fortinet-Berichten sowie die spezifischen Empfehlungen seitens Mandiant zu befolgen.
Die Cyberabwehr des Landesamts für Verfassungsschutz Baden-Württemberg empfiehlt dringend, besonders Firewall- und
VPN-Lösungen regelmässig auf Updates und auf mögliche Sicherheitslücken zu überpüfen. Gerade solche Produkte
sind sehr oft beliebte Ziele staatlicher Akteure. IT-Administratoren und Sicherheitsverantwortliche sollten die von Mandiant
bereitgestellten IOCs zur Überwachung ihrer Systeme nutzen und verdächtige Aktivitäten sofort melden. Regelmäßige
Sicherheitsüberprüfungen und Schulungen sind essenziell, um das Bewusstsein für solche Bedrohungen zu erhöhen und die
Abwehrfähigkeit zu stärken.