Cet article de Trend Micro met en lumière les activités du groupe APT UNC3886, qui cible les infrastructures critiques dans les secteurs des télécommunications, gouvernement, technologie et défense, avec un focus récent sur Singapour.
UNC3886 utilise des vulnérabilités zero-day dans les systèmes VMware vCenter/ESXi, Fortinet FortiOS et Juniper pour mener des attaques sophistiquées. Ils déploient un ensemble d’outils personnalisés pour maintenir un accès persistant et contourner les défenses avancées.
Les outils utilisés incluent le backdoor TinyShell basé sur Python pour un accès à distance via HTTP/HTTPS, le rootkit Reptile pour le masquage de processus/fichiers et les capacités de port knocking, et le rootkit Medusa pour les portes dérobées PAM et la journalisation des authentifications.
D’autres outils mentionnés sont le backdoor MopSled avec chiffrement ChaCha20, le backdoor multiplateforme RifleSpine utilisant Google Drive pour le C2, et le backdoor passif CastleTap ciblant les pare-feu FortiGate via une activation ICMP.
Cet article est une analyse de menace détaillée, visant à informer sur les tactiques, techniques et procédures (TTPs) de UNC3886 et à défendre contre les risques présents.
🧠 TTPs et IOCs détectés
TTPs
[‘Exploitation des vulnérabilités zero-day’, ‘Utilisation de backdoors pour un accès persistant’, ‘Masquage de processus et fichiers avec des rootkits’, ‘Utilisation de port knocking’, ‘Utilisation de Google Drive pour le command and control (C2)’, ‘Activation ICMP pour le ciblage des pare-feu’]
IOCs
[“Aucun hash, domaine ou IP spécifique n’est mentionné dans l’analyse fournie.”]
🔗 Source originale : https://www.trendmicro.com/en_us/research/25/g/revisiting-unc3886-tactics-to-defend-against-present-risk.html