UNC3886：黑客煽动 0day 火焰，烧毁世界各地公司的网络防御

政府和关键基础设施企业成为犯罪分子的目标。

UNC3886 是一个与中国有关的网络犯罪组织，专门从事网络间谍活动，利用 Fortinet、Ivanti 和 VMware 设备中的零日漏洞来维持对受感染系统的访问。

UNC3886 飞塔 伊万蒂 VMware

Mandiant 研究人员报告称，攻击者使用各种访问保留机制，包括网络设备、虚拟机管理程序和虚拟机。即使检测到并消除了潜在威胁，您也可以保持访问权限。

曼迪安特 报告

UNC3886组织被专家形容为“老练、谨慎、回避”。它利用 CVE-2022-41328 (Fortinet FortiOS)、CVE-2022-22948 (VMware vCenter) 和 CVE-2023-20867 (VMware Tools) 等零日漏洞注入恶意软件并获取凭据访问权限。

CVE-2022-41328 CVE-2022-22948 CVE-2023-20867

UNC3886攻击主要针对北美、东南亚和大洋洲的组织。欧洲、非洲和亚洲其他地区也报告了病例。政府、电信公司、技术公司、国防公司和能源公司都面临风险。

UNC3886 的关键策略之一是使用技术绕过安全系统并长时间保持不被发现。为了实现这一目标，攻击者使用公开可用的 Rootkit，例如 Reptile 和 Medusa，后者是使用 SEAELF 安装组件进行部署的。

在受感染的系统上，黑客会安装后门 MOPSLED 和 RIFLESPINE，它们使用 GitHub 和 Google Drive 服务作为交换 C2 命令的渠道。 MOPSLED 是一种通过 HTTP 进行通信的模块化植入程序，RIFLESPINE 是一种用于传输文件和执行命令的跨平台工具。