Lopakodó kínai kiberkémkedés
A Mandiant Intelligence elemzése konkrétan rávilágít arra, hogy a kínai fenyegetettségi csoportok kihasználják a nulladik napi sérülékenységeket a biztonsági, hálózati és virtualizációs szoftverek terén, valamint routereket és más módszereket használnak a támadóforgalom továbbítására és álcázására a kihasznált rendszereken kívül és belül. Nagy biztonsággal úgy értékeli a Mandiant, hogy a kínai kiberkémkedési csoportok ezeket a technikákat használják az észlelés elkerülésére és az attribúció bonyolítására.
2022-ben a Mandiant vizsgálta a Kínához kapcsolt az UNC3886 tevékenységét, amely több támadási útvonalat és két nulladik napi sérülékenységet is alkalmazott arra, hogy fenntartsa a jelenlétét a kihasznált szervezeteknél, és végül hozzáférjen a virtualizált környezetekhez. Az UNC3886 elsősorban a védelmi ipari szektort, a technológiai és a telekommunikációs szervezeteket vette célba az Egyesült Államokban és Ázsiában.
Az UNC3886 a hagyományostól eltérő eljárásokat alkalmazott hozott, hogy észrevétlen maradjon az áldozat környezetében. A támadók jelenlétüket a hálózatokon a Fortinet biztonsági eszközökre és a VMware virtualizációs technológiákra, valamint az EDR megoldásokból hagyományosan hiányzó eszközökre és platformokra korlátozták. A csoport egyéni rosszindulatú programjai, olyan nem hagyományos protokollokat (VMCI socket) használnak, amelyek alapértelmezés szerint nincsenek naplózva, és nincsenek biztonsági korlátozások a hipervizorok és a vendég virtuális gépek (VM-ek) közötti interakcióhoz. Az UNC3886 ezenkívül törölte és módosította a naplófájlokat, és letiltotta a fájlrendszer ellenőrzését az indításkor, hogy elkerülje az észlelést.
A szintén Kínához kapcsolt UNC4841 csoport is egy nulladik napi sérülékenységet, a CVE-2023-2868-at alkalmazta a Barracuda Email Security Gateway eszközökön egy olyan kampányban, amely világszerte állami és magánszervezeteket céloz meg. Több esetben is megfigyelte a Mandiant, hogy a szereplő érdeklődésre számot tartó e-mail-adatokat keresett, mielőtt ellopta azokat. A csoport különös érdeklődést mutatott a Kína számára politikai vagy stratégiai érdeklődésre számot tartó információk iránt.
