Rabattilbud med flere licenser
Trusseldatabase Malware UNC3886 Cyberspionagegruppe

UNC3886 Cyberspionagegruppe

Med Mezo i Malware, Bagdøre
Oversæt til:
Dansk

Den Kina-tilknyttede cyberspionageenhed UNC3886 har aktivt målrettet mod udtjente MX-routere for at implementere tilpassede bagdøre. Denne kampagne understreger deres evne til at infiltrere intern netværksinfrastruktur ved at bruge bagdøre med både aktive og passive muligheder. Nogle varianter indeholder endda indlejrede scripts designet til at deaktivere logningsmekanismer, så angribere kan arbejde uopdaget.

En trusselgruppe i udvikling

UNC3886 har en historie med at udnytte nul-dages sårbarheder i Fortinet-, Ivanti- og VMware-enheder til at bryde netværk og etablere langsigtet persistens. Denne seneste operation repræsenterer en udvikling af deres teknikker, med fokus på netværkshardware, der ofte mangler sikkerhedsovervågning.

Siden deres første dokumenterede aktivitet i september 2022, har UNC3886 demonstreret høj færdighed i at målrette mod edge-enheder og virtualiseringsteknologier, rettet mod forsvar, teknologi og telekommunikationssektorer i USA og Asien.

Hvorfor routing-enheder?

Spionage-drevne modstandere har for nylig skiftet mod at kompromittere routing-enheder. Ved at få kontrol over afgørende infrastruktur kan angribere opretholde langvarig adgang, samtidig med at de har potentialet til at udføre forstyrrende aktiviteter i fremtiden.

The TinyShell Connection: A Weapon of Choice

Den seneste aktivitet, opdaget i midten af 2024, involverer implantater baseret på TinyShell, en letvægts C-baseret bagdør, som foretrækkes af kinesiske hackergrupper som Liminal Panda og Velvet Ant. TinyShells open source-karakter gør det til et praktisk valg, der tilbyder nem tilpasning og komplicerer tilskrivning.

Sikkerhedsforskere har identificeret seks forskellige bagdøre baseret på TinyShell, hver med sin egen funktionalitet:

  • appid (A Poorly Plagiarized Implant Daemon) – Giver filoverførsel, interaktiv shell, SOCKS proxy og C2-konfigurationsændringer.
  • til (TooObvious) – Svarer til appid, men med forskellige hårdkodede C2-servere.
  • irad (Internet Remote Access Daemon) – Fungerer som en passiv bagdør ved hjælp af pakkesniffing via ICMP-pakker.
  • lmpad (Local Memory Patching Attack Daemon) – Bruger procesinjektion til at undgå logning.
  • jdosd (Junos Denial of Service Daemon) – En UDP-bagdør med remote shell-funktioner.
  • oemd (Obscure Enigmatic Malware Daemon) – En passiv bagdør, der bruger TCP til at kommunikere med C2-servere.

Omgå Junos OS sikkerhedsbeskyttelse

Angriberne har udviklet metoder til at udføre malware på trods af Junos OS' Verified Exec (veriexec) beskyttelse, som er designet til at forhindre uautoriseret kodeudførelse. Ved at opnå privilegeret adgang via en terminalserver injicerer de ondsindet nyttelast i legitime processer, hvilket sikrer vedholdenhed, mens de undgår opdagelse.

Flere værktøjer i Attack Arsenal

Udover TinyShell-bagdøre implementerer UNC3886 yderligere værktøjer:

  • Reptile & Medusa – Rootkits til snigende vedholdenhed.
  • PITHOOK – Bruges til at kapre SSH-godkendelse og indfange legitimationsoplysninger.
  • GHOSTTOWN – Designet til anti-kriminaltekniske formål.

Organisationer, der bruger Juniper-enheder, anbefales kraftigt at opdatere dem til de nyeste firmwareversioner for at afbøde disse trusler.

Endnu et angreb, en anden trussel skuespiller?

Interessant nok har en separat kampagne, kaldet J-Magic, målrettet Juniper-routere i virksomhedskvalitet ved hjælp af en bagdørsvariant kendt som cd00r. Denne aktivitet tilskrives dog en anden Kina-forbundet gruppe, UNC4841, uden kendte bånd til UNC3886's målretning mod udtjente Juniper-routere.

Udnytter CVE-2025-21590 til vedholdenhed

Juniper Networks har bekræftet, at de seneste infektioner udnyttede mindst én sårbarhed – CVE-2025-21590 (CVSS v4-score: 6,7). Denne fejl, der findes i Junos OS-kernen, tillader højtprivilegerede angribere at injicere vilkårlig kode, hvilket i sidste ende kompromitterer enhedens integritet.

Patches er blevet udgivet i Junos OS-versionerne 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R og 24.2R. Organisationer skal sikre, at de kører disse opdaterede versioner.

UNC3886: Masters of Stealth and Persistence

UNC3886's ekspertise inden for avanceret systeminternal er tydelig i dens strategiske brug af passive bagdøre, manipulation af træstammer og retsmedicinsk unddragelse. Dets primære mål er fortsat langsigtet vedholdenhed, samtidig med at det minimerer opdagelsesrisici, hvilket udgør en løbende og betydelig cybersikkerhedsudfordring.

 

Trending

Mest sete

Indlæser...