Mandiant: cyberbende UNC3944 richt zich op VMware vSphere

De tactieken van UNC3944 zijn consistent en zijn niet gebaseerd op software-exploits. In plaats daarvan gebruiken ze een beproefd plan dat draait om telefoontjes naar de IT-helpdesk. De aanvallers zijn agressief, creatief en bijzonder bedreven in social engineering om zelfs geavanceerde beveiligingsprogramma's te omzeilen. Hun aanvallen zijn niet opportunistisch, maar precieze, campagne-gedreven operaties gericht op de meest kritieke systemen en data van een organisatie.

De "Living-off-the-Land" strategie en vSphere als doelwit

De strategie van UNC3944 is geworteld in een "living-off-the-land" (LoTL) benadering. Na het compromitteren van één of meer gebruikersaccounts via social engineering, manipuleren ze vertrouwde administratieve systemen. Ze gebruiken hun controle over Active Directory als lanceerplatform om door te dringen tot de VMware vSphere-omgeving. Dit biedt hen een weg om data te exfiltreren en ransomware rechtstreeks vanaf de hypervisor te implementeren. Deze methode is zeer effectief, omdat het weinig traditionele 'indicators of compromise' (IoC's) genereert en beveiligingstools zoals Endpoint Detection and Response (EDR), die vaak beperkte of geen zichtbaarheid hebben in de ESXi-hypervisor en vCenter Server Appliance (VCSA), omzeilt.

Vijf fases van de aanval

Mandiant schetst een typische aanvalsketen van UNC3944, verdeeld in vijf fasen:

1. Initiële compromittering, verkenning en escalatie: De aanvallers bellen de IT-helpdesk, doen zich voor als medewerkers en overtuigen helpdeskmedewerkers om Active Directory-wachtwoorden te resetten. Ze gebruiken interne documentatie om krachtige AD-beveiligingsgroepen te identificeren, zoals "vSphere Admins", om zo een bevoorrecht account te bemachtigen.
   • Detectie: Monitor opdrachtregeluitvoeringen, wijzigingen in groepslidmaatschappen (AD Event ID 4728/4732) en correleer wachtwoordresets met helpdeskactiviteit.
   • Mitigatie: Verbied telefonische resets voor bevoorrechte accounts, bescherm en monitor bevoorrechte AD-groepen en beveilig de informatieopslag.
2. De spil naar vCenter – compromittering van het controlepaneel: Met de gecompromitteerde AD-referenties krijgen de aanvallers toegang tot de vCenter Server GUI. Ze benutten hun vCenter Admin-rechten om "virtuele fysieke toegang" tot de VCSA te verkrijgen, de root-toegang te wijzigen en een persistente reverse shell (C2-kanaal) in te stellen met tools zoals 'teleport'.
   • Detectie: Monitor vCenter-gebeurtenissen voor aanmeldingen en herstarts, let op SSH-pogingen en ongebruikelijke DNS-verzoeken van vCenter.
   • Mitigatie: Schakel externe logboekregistratie van VCSA in, handhaaf phishing-resistente MFA op vCenter, pas het principe van minimale rechten toe en blokkeer onnodige uitgaande internetverkeer.
3. De Hypervisor Heist – offline diefstal en exfiltratie van referenties: De aanvallers schakelen de SSH-toegang op de ESXi-hosts in en resetten root-wachtwoorden. Ze voeren een offline aanval uit door een Domain Controller VM uit te schakelen, de virtuele schijf te ontkoppelen en deze te koppelen aan een gecontroleerde, onbewaakte VM. Van daaruit kopiëren ze de NTDS.dit Active Directory-database, exfiltreren deze via de VCSA en de reeds opgezette 'teleport' C2-kanaal.
   • Detectie: Monitor voor verkenning in de vSphere UI, controleer VmReconfiguredEvent voor verdachte schijfkoppelingen en correleer de volledige gebeurtenissenreeks.
   • Mitigatie: Gebruik vSphere VM-encryptie voor Tier 0 gevirtualiseerde assets, implementeer een strikt VM-decommissioningsproces en verhard ESXi-accounts.
4. Back-up sabotage – het veiligheidsnet verwijderen: Voordat ransomware wordt ingezet, richten de aanvallers zich op de back-upinfrastructuur. Ze gebruiken gecompromitteerde referenties of voegen zichzelf toe aan bevoorrechte groepen (bijv. "Veeam Administrators") om back-uptaken, snapshots en repositories te verwijderen.
   • Detectie: Monitor interactieve aanmeldingen op de back-upserver, waarschuw bij wijzigingen in back-upbeheerdersgroepen in AD en controleer de auditlogboeken van de back-uptoepassing.
   • Mitigatie: Isoleer de back-upinfrastructuur strikt en maak gebruik van onveranderlijke repositories.
5. Encryptie – ransomware vanaf de hypervisor: Met volledige controle over de ESXi-hosts pushen de aanvallers hun aangepaste ransomware-binary. Ze gebruiken vervolgens native ESXi-opdrachtregeltools om elke VM op de host geforceerd uit te schakelen en lanceren de ransomware, die alle VM-bestanden versleutelt.
   • Detectie: Monitor netwerkstroomlogboeken voor grote bestandsoverdrachten via SSH/SCP naar en van ESXi-hosts en waarschuw voor verdachte processen.
   • Mitigatie: Implementeer strikte toegangscontrole tot ESXi-hosts, monitor en beperk de uitvoering van onbekende binaire bestanden en zorg voor robuuste, offline back-ups.

Essentiële verdedigingsstrategie

Mandiant benadrukt dat een robuuste, meerlaagse verdedigingsstrategie noodzakelijk is om deze geavanceerde aanvallen af te slaan. Dit omvat niet alleen technische controles, maar ook een focus op processen rondom identiteitsbeheer en beveiligingsmonitoring. Het begrijpen van de verschillende logboekbronnen binnen vSphere (vCenter Server Events, ESXi Host Logs en ESXi Host Audit Logs) is daarbij cruciaal voor effectieve detectie en forensisch onderzoek.

Organisaties worden dringend geadviseerd hun VMware vSphere-omgevingen te controleren en te verharden volgens de aanbevelingen van Mandiant om zich te beschermen tegen UNC3944 en soortgelijke geavanceerde dreigingen.