Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер UNC3886 Група за кибер шпионаж

UNC3886 Група за кибер шпионаж

До Mezo през Зловреден софтуер, Задни вратиг
Превод на:
български език

Свързаното с Китай дружество за кибершпионаж UNC3886 активно се насочва към излезли от употреба MX рутери, за да внедри персонализирани задни врати. Тази кампания подчертава способността им да проникват във вътрешна мрежова инфраструктура, използвайки задни врати с активни и пасивни възможности. Някои варианти дори съдържат вградени скриптове, предназначени да изключат механизмите за регистриране, позволявайки на нападателите да действат незабелязани.

Развиваща се група за заплахи

UNC3886 има история на използване на уязвимости от нулевия ден във Fortinet, Ivanti и VMware устройства за пробиване на мрежи и установяване на дългосрочна устойчивост. Тази последна операция представлява еволюция на техните техники, като се фокусира върху мрежовия хардуер, който често няма мониторинг на сигурността.

От първата си документирана дейност през септември 2022 г., UNC3886 демонстрира висока компетентност в насочването към периферни устройства и технологии за виртуализация, насочени към секторите на отбраната, технологиите и телекомуникациите в САЩ и Азия.

Защо маршрутизиращи устройства?

Водените от шпионаж противници наскоро се насочиха към компрометиране на устройства за маршрутизиране. Получавайки контрол над ключова инфраструктура, нападателите могат да поддържат продължителен достъп, като същевременно имат потенциала да извършват разрушителни дейности в бъдеще.

Връзката TinyShell: Оръжие по избор

Последната дейност, открита в средата на 2024 г., включва импланти, базирани на TinyShell, лека C-базирана задна врата, предпочитана от китайски хакерски групи като Liminal Panda и Velvet Ant. Естеството на TinyShell с отворен код го прави практичен избор, предлагайки лекота на персонализиране, като същевременно усложнява приписването.

Изследователите по сигурността са идентифицирали шест различни задни вратички, базирани на TinyShell, всяка със собствена функционалност:

  • appid (Лошо плагиатстван демон на имплант) – Осигурява трансфер на файлове, интерактивна обвивка, SOCKS прокси и промени в конфигурацията на C2.
  • до (TooObvious) – Подобно на appid, но с различни твърдо кодирани C2 сървъри.
  • irad (Internet Remote Access Daemon) – Действа като пасивна задна врата, използвайки снифинг на пакети чрез ICMP пакети.
  • lmpad (Local Memory Patching Attack Daemon) – Използва инжектиране на процес, за да избегне регистриране.
  • jdosd (Junos Denial of Service Daemon) – UDP backdoor с възможности за отдалечена обвивка.
  • oemd (Obscure Enigmatic Malware Daemon) – Пасивен бекдор, използващ TCP за комуникация с C2 сървъри.

Заобикаляне на защитата на Junos OS

Нападателите са разработили методи за изпълнение на зловреден софтуер въпреки защитата Verified Exec (veriexec) на Junos OS, която е предназначена да предотврати неоторизирано изпълнение на код. Получавайки привилегирован достъп чрез терминален сървър, те инжектират злонамерени полезни товари в легитимни процеси, като гарантират устойчивост, като същевременно избягват откриването.

Още инструменти в арсенала на атаката

Освен задните врати на TinyShell, UNC3886 разполага с допълнителни инструменти:

  • Reptile & Medusa – Руткитове за скрита устойчивост.
  • PITHOOK – Използва се за отвличане на SSH удостоверяване и улавяне на идентификационни данни.
  • GHOSTTOWN – Проектиран за антикриминалистични цели.

Организациите, използващи устройства Juniper, силно се съветват да ги актуализират до най-новите версии на фърмуера, за да смекчат тези заплахи.

Друга атака, още една заплаха?

Интересното е, че отделна кампания, наречена J-Magic, е насочена към корпоративни рутери Juniper, използващи вариант на задната врата, известен като cd00r. Тази дейност обаче се приписва на друга група, свързана с Китай, UNC4841, без известни връзки с насочването на UNC3886 към излезли от употреба рутери Juniper.

Използване на CVE-2025-21590 за постоянство

Juniper Networks потвърди, че скорошните инфекции са използвали поне една уязвимост — CVE-2025-21590 (CVSS v4 резултат: 6,7). Този недостатък, открит в ядрото на Junos OS, позволява на нападателите с високи привилегии да инжектират произволен код, което в крайна сметка компрометира целостта на устройството.

Пачовете са пуснати във версии на Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 и 24.4R1. Организациите трябва да гарантират, че изпълняват тези актуализирани версии.

UNC3886: Майстори на стелт и постоянство

Експертният опит на UNC3886 в усъвършенстваните вътрешни системи е очевиден в стратегическото му използване на пасивни задни врати, подправяне на регистрационни файлове и криминалистично избягване. Неговата основна цел остава дългосрочна устойчивост, като същевременно минимизира рисковете от откриване, което представлява продължаващо и значително предизвикателство за киберсигурността.

 

Тенденция

Приложение Koaiw

Потенциално нежелани програми, Рекламен софтуер, Зловреден софтуер
Потенциално нежеланите програми (PUP) може не винаги да изглеждат вредни на пръв поглед, но те често въвеждат рискове, които компрометират производителността, сигурността и поверителността на...

Най-гледан

Зареждане...