Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara UNC3886 küberspionaažirühm

UNC3886 küberspionaažirühm

Aastaks Mezo aastal Pahavara, Tagauksed
Tõlgi:
Eesti

Hiinaga seotud küberspionaažiüksus UNC3886 on aktiivselt sihtinud kasutusea lõpetanud MX-ruutereid, et juurutada kohandatud tagauksi. See kampaania rõhutab nende võimet tungida sisemisse võrguinfrastruktuuri, kasutades nii aktiivsete kui passiivsete võimalustega tagauksi. Mõned variandid sisaldavad isegi manustatud skripte, mis on loodud logimismehhanismide väljalülitamiseks, võimaldades ründajatel märkamatult tegutseda.

Arenev ohurühm

UNC3886 on varem kasutanud Fortineti, Ivanti ja VMware seadmete nullpäeva turvaauke, et murda võrke ja luua pikaajaline püsivus. See viimane toiming kujutab endast nende tehnikate arengut, keskendudes võrguriistvarale, millel sageli puudub turvaseire.

Alates oma esimesest dokumenteeritud tegevusest 2022. aasta septembris on UNC3886 näidanud kõrgeid oskusi äärmuslike seadmete ja virtualiseerimistehnoloogiate sihtimisel, mis on suunatud USA ja Aasia kaitse-, tehnoloogia- ja telekommunikatsioonisektoritele.

Miks marsruutimisseadmed?

Spionaažist juhitud vastased on viimasel ajal nihkunud marsruutimisseadmete kompromiteerimise poole. Olulise infrastruktuuri üle kontrolli saavutades saavad ründajad säilitada pika juurdepääsu, samal ajal kui neil on potentsiaali tulevikus korraldada häirivaid tegevusi.

TinyShelli ühendus: valikurelv

Viimane tegevus, mis tuvastati 2024. aasta keskel, hõlmab implantaate, mis põhinevad TinyShellil, kergel C-põhisel tagauksel, mida eelistavad Hiina häkkimisrühmad, nagu Liminal Panda ja Velvet Ant. TinyShelli avatud lähtekoodiga olemus muudab selle praktiliseks valikuks, pakkudes hõlpsat kohandamist ja raskendades samas omistamist.

Turvateadlased on tuvastanud kuus erinevat TinyShellil põhinevat tagaust, millest igaühel on oma funktsioonid:

  • appid (halvasti plagieeritud implantaadideemon) – pakub failiedastust, interaktiivset kesta, SOCKS-i puhverserverit ja C2 konfiguratsiooni muudatusi.
  • to (TooObvious) – sarnane appidiga, kuid erinevate kõvakoodiga C2-serveritega.
  • irad (Interneti kaugjuurdepääsu deemon) – toimib passiivse tagauksena, kasutades pakettide nuusutamist ICMP-pakettide kaudu.
  • lmpad (Local Memory Patching Attack Deemon) – kasutab logimisest kõrvalehoidmiseks protsessisüsti.
  • jdosd (Junos Denial of Service Deemon) – UDP-tagauks kaugshelli võimalustega.
  • oemd (Obscure Enigmatic Malware Deemon) – passiivne tagauks, mis kasutab C2-serveritega suhtlemiseks TCP-d.

Junos OS-i turbekaitsetest möödahiilimine

Ründajad on välja töötanud meetodid pahavara käivitamiseks vaatamata Junos OS-i Verified Exec (veriexec) kaitsele, mis on loodud selleks, et vältida volitamata koodikäitamist. Saades privilegeeritud juurdepääsu terminaliserveri kaudu, sisestavad nad pahatahtlikku kasulikku koormust seaduslikesse protsessidesse, tagades järjekindluse ja hoidudes tuvastamisest.

Rohkem tööriistu ründearsenalis

Lisaks TinyShelli tagaustele juurutab UNC3886 täiendavaid tööriistu:

  • Reptile & Medusa – juurkomplektid vargsi püsivuse tagamiseks.
  • PITHOOK – kasutatakse SSH autentimise kaaperdamiseks ja mandaatide hõivamiseks.
  • GHOOSTOWN – loodud kohtuekspertiisivastasteks eesmärkideks.

Juniperi seadmeid kasutavatel organisatsioonidel soovitatakse nende ohtude leevendamiseks neid uusimale püsivara versioonile värskendada.

Veel üks rünnak, veel üks ähvardusnäitleja?

Huvitav on see, et eraldi kampaania, nimega J-Magic, on suunatud ettevõtte tasemel Juniperi ruuteritele, kasutades tagaukse varianti, mida tuntakse kui cd00r. Kuid see tegevus on omistatud teisele Hiinaga seotud rühmale UNC4841, millel pole teadaolevaid seoseid UNC3886 sihtmärgiga Juniperi kasutusea lõppenud ruuteritele.

CVE-2025-21590 kasutamine püsivuse tagamiseks

Juniper Networks on kinnitanud, et hiljutised nakkused kasutasid ära vähemalt ühte haavatavust – CVE-2025-21590 (CVSS v4 skoor: 6,7). See Junos OS-i tuumas leitud viga võimaldab kõrge privilegeeritud ründajatel sisestada suvalist koodi, mis lõpuks kahjustab seadme terviklikkust.

Plaastrid on välja antud Junos OS-i versioonides 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R1-S2, 24.242, R.4 ja 24.24R.4. Organisatsioonid peavad tagama, et nad kasutavad neid värskendatud versioone.

UNC3886: varguse ja püsivuse meistrid

UNC3886 asjatundlikkus täiustatud süsteemisiseste funktsioonide vallas ilmneb passiivsete tagauste strateegilises kasutamises, logide rikkumistes ja kohtuekspertiisi kõrvalehoidmises. Selle peamine eesmärk on pikaajaline püsivus, minimeerides samas avastamisriske, mis kujutab endast pidevat ja märkimisväärset küberjulgeoleku väljakutset.

 

Trendikas

Enim vaadatud

Laadimine...