Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό UNC3886 Ομάδα Κυβερνοκατασκοπείας

UNC3886 Ομάδα Κυβερνοκατασκοπείας

Μέχρι το Mezo το Κακόβουλο λογισμικό, Backdoors
Μετάφραση σε:
Ελληνικά

Η οντότητα κυβερνοκατασκοπείας UNC3886 που συνδέεται με την Κίνα στοχεύει ενεργά τους δρομολογητές MX στο τέλος του κύκλου ζωής τους για να αναπτύξει προσαρμοσμένες κερκόπορτες. Αυτή η καμπάνια υπογραμμίζει την ικανότητά τους να διεισδύουν σε εσωτερική υποδομή δικτύωσης, χρησιμοποιώντας backdoors με ενεργητικές και παθητικές δυνατότητες. Ορισμένες παραλλαγές περιέχουν ακόμη και ενσωματωμένα σενάρια που έχουν σχεδιαστεί για να απενεργοποιούν τους μηχανισμούς καταγραφής, επιτρέποντας στους εισβολείς να λειτουργούν απαρατήρητα.

Μια εξελισσόμενη ομάδα απειλών

Το UNC3886 έχει ιστορικό μόχλευσης τρωτών σημείων zero-day σε συσκευές Fortinet, Ivanti και VMware για παραβίαση δικτύων και δημιουργία μακροπρόθεσμης εμμονής. Αυτή η τελευταία λειτουργία αντιπροσωπεύει μια εξέλιξη των τεχνικών τους, εστιάζοντας στο υλικό δικτύωσης που συχνά στερείται παρακολούθησης ασφαλείας.

Από την πρώτη τεκμηριωμένη δραστηριότητά του τον Σεπτέμβριο του 2022, το UNC3886 έχει επιδείξει υψηλή επάρκεια στη στόχευση συσκευών αιχμής και τεχνολογιών εικονικοποίησης, στοχεύοντας στους τομείς της άμυνας, της τεχνολογίας και των τηλεπικοινωνιών στις ΗΠΑ και την Ασία.

Γιατί Routing Devices;

Οι αντίπαλοι που οδηγούνται από την κατασκοπεία στράφηκαν πρόσφατα προς τις συσκευές δρομολόγησης σε κίνδυνο. Με την απόκτηση ελέγχου σε ζωτικής σημασίας υποδομές, οι επιτιθέμενοι μπορούν να διατηρήσουν παρατεταμένη πρόσβαση, ενώ έχουν επίσης τη δυνατότητα να διεξάγουν ανασταλτικές δραστηριότητες στο μέλλον.

The TinyShell Connection: A Weapon of Choice

Η πιο πρόσφατη δραστηριότητα, που εντοπίστηκε στα μέσα του 2024, περιλαμβάνει εμφυτεύματα που βασίζονται στο TinyShell, μια ελαφριά κερκόπορτα με βάση το C που προτιμάται από κινεζικές ομάδες hacking όπως η Liminal Panda και η Velvet Ant. Η φύση ανοιχτού κώδικα του TinyShell το καθιστά πρακτική επιλογή, προσφέροντας ευκολία προσαρμογής ενώ περιπλέκει την απόδοση.

Οι ερευνητές ασφαλείας έχουν εντοπίσει έξι ξεχωριστές πόρτες με βάση το TinyShell, το καθένα με τη δική του λειτουργικότητα:

  • appid (A Poorly Plagiarized Implant Daemon) – Παρέχει μεταφορά αρχείων, διαδραστικό κέλυφος, διακομιστή μεσολάβησης SOCKS και αλλαγές διαμόρφωσης C2.
  • έως (TooObvious) – Παρόμοιο με το appid αλλά με διαφορετικούς σκληρούς κωδικοποιημένους διακομιστές C2.
  • irad (Δαίμονας απομακρυσμένης πρόσβασης στο Διαδίκτυο) – Λειτουργεί ως παθητική κερκόπορτα χρησιμοποιώντας sniffing πακέτων μέσω πακέτων ICMP.
  • lmpad (Local Memory Patching Attack Daemon) – Χρησιμοποιεί την ένεση διεργασίας για να αποφύγει την καταγραφή.
  • jdosd (Junos Denial of Service Daemon) – Μια κερκόπορτα UDP με δυνατότητες απομακρυσμένου κελύφους.
  • oemd (Obscure Enigmatic Malware Daemon) – Μια παθητική κερκόπορτα που χρησιμοποιεί το TCP για επικοινωνία με διακομιστές C2.

Παράκαμψη των Προστασίας Ασφαλείας του Junos OS

Οι εισβολείς έχουν αναπτύξει μεθόδους για την εκτέλεση κακόβουλου λογισμικού παρά τις προστασίες Verified Exec (veriexec) του Junos OS, οι οποίες έχουν σχεδιαστεί για να αποτρέπουν τη μη εξουσιοδοτημένη εκτέλεση κώδικα. Αποκτώντας προνομιακή πρόσβαση μέσω τερματικού διακομιστή, εισάγουν κακόβουλα ωφέλιμα φορτία σε νόμιμες διαδικασίες, διασφαλίζοντας επιμονή ενώ αποφεύγουν τον εντοπισμό.

Περισσότερα εργαλεία στο Attack Arsenal

Εκτός από τις κερκόπορτες TinyShell, το UNC3886 αναπτύσσει πρόσθετα εργαλεία:

  • Reptile & Medusa – Rootkits για κρυφή επιμονή.
  • PITHOOK – Χρησιμοποιείται για την παραβίαση του ελέγχου ταυτότητας SSH και τη λήψη διαπιστευτηρίων.
  • GHOSTTOWN – Σχεδιασμένο για σκοπούς κατά της εγκληματολογίας.

Συνιστάται ιδιαίτερα στους οργανισμούς που χρησιμοποιούν συσκευές Juniper να τις ενημερώσουν στις πιο πρόσφατες εκδόσεις υλικολογισμικού για να μετριάσουν αυτές τις απειλές.

Μια άλλη επίθεση, άλλη μια απειλή ηθοποιός;

Είναι ενδιαφέρον ότι μια ξεχωριστή καμπάνια, με την ονομασία J-Magic, έχει στοχεύσει δρομολογητές Juniper εταιρικής ποιότητας χρησιμοποιώντας μια παραλλαγή backdoor γνωστή ως cd00r. Ωστόσο, αυτή η δραστηριότητα αποδίδεται σε μια διαφορετική ομάδα που συνδέεται με την Κίνα, την UNC4841, χωρίς γνωστούς δεσμούς με τη στόχευση του UNC3886 σε δρομολογητές Juniper στο τέλος του κύκλου ζωής τους.

Αξιοποίηση του CVE-2025-21590 για επιμονή

Το Juniper Networks έχει επιβεβαιώσει ότι οι πρόσφατες μολύνσεις εκμεταλλεύτηκαν τουλάχιστον μία ευπάθεια — το CVE-2025-21590 (βαθμολογία CVSS v4: 6,7). Αυτό το ελάττωμα, που εντοπίστηκε στον πυρήνα του Junos OS, επιτρέπει στους επιτιθέμενους με υψηλά προνόμια να εισάγουν αυθαίρετο κώδικα, με αποτέλεσμα να διακυβεύεται η ακεραιότητα της συσκευής.

Οι ενημερώσεις κώδικα έχουν κυκλοφορήσει σε εκδόσεις Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R και 24.2R1-S2, 24.2R. Οι οργανισμοί πρέπει να διασφαλίσουν ότι εκτελούν αυτές τις ενημερωμένες εκδόσεις.

UNC3886: Masters of Stealth and Persistence

Η τεχνογνωσία του UNC3886 στα προηγμένα εσωτερικά συστήματα είναι εμφανής στη στρατηγική χρήση των παθητικών κερκόπορτων, της παραβίασης κορμών και της εγκληματολογικής αποφυγής. Ο πρωταρχικός του στόχος παραμένει η μακροπρόθεσμη επιμονή με παράλληλη ελαχιστοποίηση των κινδύνων ανίχνευσης, γεγονός που αποτελεί μια συνεχή και σημαντική πρόκληση για την ασφάλεια στον κυβερνοχώρο.

 

Τάσεις

Εφαρμογή Koaiw

Πιθανώς ανεπιθύμητα προγράμματα, Adware, Κακόβουλο λογισμικό
Τα δυνητικά ανεπιθύμητα προγράμματα (PUP) μπορεί να μην φαίνονται πάντα επιβλαβή με την πρώτη ματιά, αλλά συχνά εγκυμονούν κινδύνους που θέτουν σε κίνδυνο την απόδοση, την ασφάλεια και το απόρρητο...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
23,936
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...