قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار گروه جاسوسی سایبری UNC3886

گروه جاسوسی سایبری UNC3886

تا Mezo در بدافزار, درهای پشتی
ترجمه به:
فارسی

نهاد جاسوسی سایبری UNC3886 مرتبط با چین، به طور فعال روترهای پایان عمر MX را برای استقرار درهای پشتی سفارشی هدف قرار داده است. این کمپین بر توانایی آن‌ها برای نفوذ به زیرساخت‌های شبکه داخلی، با استفاده از درهای پشتی با قابلیت‌های فعال و غیرفعال تاکید می‌کند. برخی از انواع حتی حاوی اسکریپت‌های تعبیه‌شده‌ای هستند که برای خاموش کردن مکانیسم‌های گزارش‌گیری طراحی شده‌اند و به مهاجمان اجازه می‌دهند تا بدون شناسایی عمل کنند.

یک گروه تهدید در حال تکامل

UNC3886 سابقه استفاده از آسیب‌پذیری‌های روز صفر را در دستگاه‌های Fortinet، Ivanti و VMware برای نفوذ به شبکه‌ها و ایجاد پایداری طولانی‌مدت دارد. این آخرین عملیات نشان‌دهنده تکامل تکنیک‌های آن‌ها با تمرکز بر سخت‌افزار شبکه‌ای است که اغلب فاقد نظارت امنیتی است.

از زمان اولین فعالیت مستند خود در سپتامبر 2022، UNC3886 مهارت بالایی در هدف قرار دادن دستگاه‌های لبه و فناوری‌های مجازی‌سازی با هدف بخش‌های دفاعی، فناوری و مخابرات در ایالات متحده و آسیا نشان داده است.

چرا دستگاه های مسیریابی؟

دشمنان جاسوسی اخیراً به سمت دستگاه های مسیریابی به خطر افتاده اند. با به دست آوردن کنترل بر زیرساخت های حیاتی، مهاجمان می توانند دسترسی طولانی مدت را حفظ کنند و در عین حال پتانسیل انجام فعالیت های مخرب در آینده را نیز داشته باشند.

اتصال TinyShell: یک سلاح انتخابی

آخرین فعالیت، که در اواسط سال 2024 شناسایی شد، شامل ایمپلنت‌های مبتنی بر TinyShell، یک درب پشتی سبک وزن C است که مورد علاقه گروه‌های هکر چینی مانند Liminal Panda و Velvet Ant است. ماهیت منبع باز TinyShell، آن را به یک انتخاب عملی تبدیل می کند، و در عین حال، تخصیص را پیچیده می کند.

محققان امنیتی شش درب پشتی متمایز را بر اساس TinyShell شناسایی کرده‌اند که هر کدام عملکرد خاص خود را دارند:

  • appid (A Poorly Plagiarized Implant Daemon) – انتقال فایل، پوسته تعاملی، پروکسی SOCKS و تغییرات پیکربندی C2 را ارائه می دهد.
  • به (TooObvious) - شبیه به appid اما با سرورهای C2 کدگذاری شده متفاوت.
  • irad (شیب دسترسی از راه دور اینترنت) - به عنوان یک درپشتی غیرفعال با استفاده از sniffing بسته از طریق بسته های ICMP عمل می کند.
  • lmpad (دمون حمله وصله حافظه محلی) - از تزریق فرآیند برای فرار از ورود به سیستم استفاده می کند.
  • jdosd (Junos Denial of Service Daemon) – یک درب پشتی UDP با قابلیت های پوسته راه دور.
  • oemd (دمون بدافزار مبهم مبهم) - یک درپشتی غیرفعال با استفاده از TCP برای ارتباط با سرورهای C2.

دور زدن حفاظت های امنیتی سیستم عامل Junos

مهاجمان روش هایی را برای اجرای بدافزارها با وجود محافظت های Verified Exec (veriexec) Junos OS توسعه داده اند که برای جلوگیری از اجرای کد غیرمجاز طراحی شده اند. با به دست آوردن دسترسی ممتاز از طریق یک سرور ترمینال، آنها بارهای مخرب را به فرآیندهای قانونی تزریق می‌کنند و ضمن اجتناب از شناسایی، پایداری را تضمین می‌کنند.

ابزارهای بیشتر در حمله آرسنال

علاوه بر درهای پشتی TinyShell، UNC3886 ابزارهای اضافی را به کار می گیرد:

  • خزندگان و مدوزا - روت کیت برای ماندگاری پنهان.
  • PITHOOK - برای ربودن احراز هویت SSH و گرفتن اعتبار استفاده می شود.
  • GHOSTTOWN - برای اهداف ضد پزشکی قانونی طراحی شده است.

به سازمان‌هایی که از دستگاه‌های Juniper استفاده می‌کنند، اکیداً توصیه می‌شود که آنها را به آخرین نسخه‌های سیستم‌افزار به‌روزرسانی کنند تا این تهدیدات را کاهش دهند.

یک حمله دیگر، یک بازیگر تهدید دیگر؟

جالب توجه است که یک کمپین جداگانه با نام J-Magic، روترهای Juniper درجه سازمانی را با استفاده از یک نوع درب پشتی معروف به cd00r هدف قرار داده است. با این حال، این فعالیت به یک گروه دیگر مرتبط با چین، UNC4841 نسبت داده می‌شود که هیچ ارتباطی با هدف قرار دادن روترهای Juniper در پایان عمر توسط UNC3886 وجود ندارد.

بهره برداری از CVE-2025-21590 برای پایداری

Juniper Networks تأیید کرده است که آلودگی‌های اخیر حداقل از یک آسیب‌پذیری - CVE-2025-21590 (نمره CVSS v4: 6.7) سوء استفاده کرده است. این نقص که در هسته سیستم عامل Junos یافت می شود، به مهاجمان با امتیاز بالا اجازه می دهد تا کد دلخواه را تزریق کنند که در نهایت یکپارچگی دستگاه را به خطر می اندازد.

وصله‌ها در نسخه‌های Junos OS 21.2R3-S9، 21.4R3-S10، 22.2R3-S6، 22.4R3-S6، 23.2R2-S3، 23.4R2-S4، 24.2R1-S2، 24.2R1-S2، 21.4R و 24.2R منتشر شده‌اند. سازمان ها باید اطمینان حاصل کنند که این نسخه های به روز شده را اجرا می کنند.

UNC3886: Masters of Stealth and Persistence

تخصص UNC3886 در بخش‌های داخلی سیستم پیشرفته در استفاده استراتژیک آن از درهای پشتی غیرفعال، دستکاری سیاهه‌ها و فرار پزشکی قانونی مشهود است. هدف اصلی آن تداوم طولانی مدت و در عین حال به حداقل رساندن خطرات شناسایی است که یک چالش مداوم و قابل توجه امنیت سایبری را ایجاد می کند.

 

پرطرفدار

برنامه Koaiw

برنامه های بالقوه ناخواسته, ابزارهای تبلیغاتی مزاحم, بدافزار
برنامه‌های بالقوه ناخواسته (PUP) ممکن است همیشه در نگاه اول مضر به نظر نرسند، اما اغلب خطراتی را به همراه دارند که عملکرد، امنیت و حریم خصوصی دستگاه را به خطر می‌اندازند. این برنامه‌های مزاحم اغلب...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
23,936
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...