Slevová nabídka pro více licencí
Databáze hrozeb Malware Skupina kybernetické špionáže UNC3886

Skupina kybernetické špionáže UNC3886

V roce Mezo v roce Malware, Zadní vrátka
Přeložit do:
Čeština

Entita kybernetické špionáže UNC3886 napojená na Čínu se aktivně zaměřuje na MX routery s ukončenou životností pro nasazení vlastních zadních vrátek. Tato kampaň podtrhuje jejich schopnost infiltrovat interní síťovou infrastrukturu s využitím zadních vrátek s aktivními i pasivními schopnostmi. Některé varianty dokonce obsahují vložené skripty navržené tak, aby vypínaly mechanismy protokolování, což útočníkům umožňuje nepozorovaně pracovat.

Vyvíjející se skupina hrozeb

UNC3886 má za sebou historii využívání zero-day zranitelností v zařízeních Fortinet, Ivanti a VMware k narušení sítí a zajištění dlouhodobé perzistence. Tato nejnovější operace představuje evoluci jejich technik se zaměřením na síťový hardware, který často postrádá monitorování zabezpečení.

Od své první zdokumentované aktivity v září 2022 prokázaly UNC3886 vysokou odbornost v zaměření na okrajová zařízení a virtualizační technologie se zaměřením na obranné, technologické a telekomunikační sektory v USA a Asii.

Proč směrovací zařízení?

Špionážní protivníci se v poslední době posunuli směrem ke kompromitujícím směrovacím zařízením. Získáním kontroly nad klíčovou infrastrukturou si útočníci mohou udržet prodloužený přístup a zároveň mají potenciál provádět rušivé aktivity v budoucnu.

Připojení TinyShell: zbraň volby

Nejnovější aktivita, zjištěná v polovině roku 2024, zahrnuje implantáty založené na TinyShell, lehkých zadních vrátkách na bázi C, které upřednostňují čínské hackerské skupiny jako Liminal Panda a Velvet Ant. Open source povaha TinyShell z něj činí praktickou volbu, která nabízí snadné přizpůsobení a zároveň komplikuje přiřazení.

Bezpečnostní výzkumníci identifikovali šest odlišných zadních vrátek založených na TinyShell, z nichž každé má svou vlastní funkci:

  • appid (Špatně plagiovaný Implant Daemon) – Poskytuje přenos souborů, interaktivní shell, SOCKS proxy a změny konfigurace C2.
  • to (TooObvious) – Podobné jako appid, ale s různými pevně zakódovanými servery C2.
  • irad (Internet Remote Access Daemon) – Působí jako pasivní zadní vrátka využívající sniffování paketů prostřednictvím paketů ICMP.
  • lmpad (Local Memory Patching Attack Daemon) – Používá vkládání procesu k vyhnutí se protokolování.
  • jdosd (Junos Denial of Service Daemon) – UDP backdoor s možností vzdáleného shellu.
  • oemd (Obscure Enigmatic Malware Daemon) – pasivní zadní vrátka využívající TCP ke komunikaci se servery C2.

Obcházení bezpečnostních ochran Junos OS

Útočníci vyvinuli metody pro spouštění malwaru navzdory ochranám Verified Exec (veriexec) Junos OS, které jsou navrženy tak, aby zabránily neoprávněnému spuštění kódu. Získáním privilegovaného přístupu přes terminálový server vkládají škodlivé užitečné zatížení do legitimních procesů, zajišťují stálost a vyhýbají se detekci.

Další nástroje v útočném arzenálu

Kromě zadních vrátek TinyShell nasazuje UNC3886 další nástroje:

  • Reptile & Medusa – Rootkity pro kradmou vytrvalost.
  • PITHOOK – Používá se k únosu ověřování SSH a získávání přihlašovacích údajů.
  • GHOSTTOWN – Navrženo pro anti-forenzní účely.

Organizacím používajícím zařízení Juniper se důrazně doporučuje aktualizovat je na nejnovější verze firmwaru, aby se tyto hrozby zmírnily.

Další útok, další nebezpečný herec?

Zajímavé je, že samostatná kampaň nazvaná J-Magic se zaměřila na podnikové routery Juniper využívající variantu zadních vrátek známou jako cd00r. Tato aktivita je však připisována jiné skupině napojené na Čínu, UNC4841, která nemá žádné známé vazby na cíl UNC3886 na routery Juniper s ukončenou životností.

Využití CVE-2025-21590 pro Persistence

Společnost Juniper Networks potvrdila, že nedávné infekce zneužily alespoň jednu zranitelnost – CVE-2025-21590 (CVSS v4 skóre: 6,7). Tato chyba, nalezená v jádře operačního systému Junos, umožňuje vysoce privilegovaným útočníkům vkládat libovolný kód, což v konečném důsledku ohrožuje integritu zařízení.

Opravy byly vydány ve verzích Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R4,2 a 24.2R4.2 Organizace musí zajistit, aby spouštěly tyto aktualizované verze.

UNC3886: Masters of Stealth and Persistence

Odbornost UNC3886 v oblasti pokročilých systémových vnitřních částí je evidentní v jejím strategickém využití pasivních zadních vrátek, manipulace s protokoly a forenzních úniků. Jeho primárním cílem zůstává dlouhodobá perzistence při minimalizaci rizik detekce, což představuje pokračující a významnou výzvu v oblasti kybernetické bezpečnosti.

 

Trendy

Nejvíce shlédnuto

Načítání...