مجموعة التجسس السيبراني UNC3886

دأبت مجموعة التجسس الإلكتروني UNC3886، المرتبطة بالصين، على استهداف أجهزة توجيه MX منتهية الصلاحية لنشر ثغرات أمنية مخصصة. تُبرز هذه الحملة قدرتها على اختراق البنية التحتية للشبكات الداخلية، باستخدام ثغرات أمنية نشطة وسلبية. حتى أن بعض هذه الثغرات تحتوي على نصوص برمجية مدمجة مصممة لتعطيل آليات التسجيل، مما يسمح للمهاجمين بالعمل دون أن يُكتشف أمرهم.

مجموعة تهديد متطورة

لدى UNC3886 سجل حافل باستغلال ثغرات اليوم صفر في أجهزة Fortinet وIvanti وVMware لاختراق الشبكات وتحقيق استقرار طويل الأمد. تُمثل هذه العملية الأخيرة تطورًا في تقنياتهم، حيث يركزون على أجهزة الشبكات التي غالبًا ما تفتقر إلى مراقبة أمنية.

منذ أول نشاط موثق لها في سبتمبر 2022، أظهرت UNC3886 كفاءة عالية في استهداف الأجهزة الطرفية وتقنيات المحاكاة الافتراضية، مستهدفة قطاعات الدفاع والتكنولوجيا والاتصالات في الولايات المتحدة وآسيا.

لماذا أجهزة التوجيه؟

تحول الخصوم الذين يعتمدون على التجسس مؤخرًا نحو اختراق أجهزة التوجيه. فمن خلال السيطرة على البنية التحتية الحيوية، يستطيع المهاجمون الحفاظ على وصول مطول، مع إمكانية القيام بأنشطة تخريبية مستقبلًا.

اتصال TinyShell: سلاح الاختيار

يتضمن أحدث نشاط، الذي اكتُشف في منتصف عام ٢٠٢٤، عمليات زرع تعتمد على TinyShell، وهو برنامج برمجي خلفي خفيف الوزن قائم على لغة البرمجة C، وتفضله مجموعات القرصنة الصينية مثل Liminal Panda وVelvet Ant. طبيعة TinyShell مفتوحة المصدر تجعله خيارًا عمليًا، إذ يوفر سهولة التخصيص مع تعقيد عملية الإسناد.

تمكن باحثو الأمن من تحديد ستة أبواب خلفية مميزة تعتمد على TinyShell، ولكل منها وظيفتها الخاصة:

• appid (شيطان زرع تم انتحاله بشكل سيئ) - يوفر نقل الملفات، والواجهة التفاعلية، ووكيل SOCKS، وتغييرات تكوين C2.
• إلى (TooObvious) - مشابه لـ appid ولكن مع خوادم C2 مبرمجة مختلفة.
• irad (خادم الوصول عن بعد إلى الإنترنت) – يعمل كباب خلفي سلبي باستخدام استنشاق الحزم عبر حزم ICMP.
• lmpad (برنامج Daemon لتصحيح هجوم الذاكرة المحلية) – يستخدم حقن العملية للتهرب من التسجيل.
• jdosd (Junos Denial of Service Daemon) – باب خلفي لـ UDP مع إمكانيات shell عن بعد.
• oemd (شيطان البرامج الضارة الغامض) - باب خلفي سلبي يستخدم TCP للتواصل مع خوادم C2.

تجاوز الحماية الأمنية لنظام التشغيل Junos

طوّر المهاجمون أساليب لتنفيذ البرامج الضارة على الرغم من حماية Verified Exec (veriexec) في نظام Junos OS، المصممة لمنع تنفيذ التعليمات البرمجية غير المصرح بها. من خلال الحصول على وصول مُمَيَّز عبر خادم طرفي، يقومون بحقن حمولات خبيثة في عمليات مشروعة، مما يضمن استمرارية العمل دون الكشف عنه.

مزيد من الأدوات في ترسانة الهجوم

بالإضافة إلى الأبواب الخلفية TinyShell، ينشر UNC3886 أدوات إضافية:

• الزواحف وميدوسا - أدوات جذرية للمثابرة الخفية.
• PITHOOK – يستخدم لاختطاف مصادقة SSH والتقاط بيانات الاعتماد.
• GHOSTTOWN – مصمم لأغراض مكافحة الطب الشرعي.

ننصح بشدة المؤسسات التي تستخدم أجهزة Juniper بتحديثها إلى أحدث إصدارات البرامج الثابتة للتخفيف من حدة هذه التهديدات.

هجوم آخر، وتهديد آخر؟

من المثير للاهتمام أن حملة منفصلة، تُسمى J-Magic، استهدفت أجهزة توجيه Juniper المخصصة للمؤسسات باستخدام برمجية تجسسية تُعرف باسم cd00r. ومع ذلك، يُعزى هذا النشاط إلى مجموعة أخرى مرتبطة بالصين، UNC4841، دون أي صلة معروفة باستهداف UNC3886 لأجهزة توجيه Juniper منتهية الصلاحية.

استغلال CVE-2025-21590 للاستمرار

أكدت شركة Juniper Networks أن الإصابات الأخيرة استغلت ثغرة أمنية واحدة على الأقل - CVE-2025-21590 (تقييم CVSS v4: 6.7). هذا الخلل، الموجود في نواة نظام التشغيل Junos، يسمح للمهاجمين ذوي الامتيازات العالية بحقن برمجيات عشوائية، مما يُعرّض سلامة الجهاز للخطر في نهاية المطاف.

تم إصدار تصحيحات لإصدارات نظام التشغيل Junos 21.2R3-S9، 21.4R3-S10، 22.2R3-S6، 22.4R3-S6، 23.2R2-S3، 23.4R2-S4، 24.2R1-S2، 24.2R2، و24.4R1. يجب على المؤسسات التأكد من تشغيل هذه الإصدارات المُحدثة.

UNC3886: أسياد التخفي والمثابرة

تتجلى خبرة UNC3886 في الأنظمة الداخلية المتقدمة في استخدامها الاستراتيجي للثغرات الأمنية السلبية، والتلاعب بالسجلات، والتهرب الجنائي. ويبقى هدفها الرئيسي هو الاستمرارية طويلة الأمد مع تقليل مخاطر الكشف، مما يشكل تحديًا مستمرًا وكبيرًا للأمن السيبراني.