Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma UNC3886 Kybervakoiluryhmä

UNC3886 Kybervakoiluryhmä

Vuonna Mezo vuonna Haittaohjelma, Takaovet
Käännä:
Suomi

Kiinaan linkitetty kybervakoiluyksikkö UNC3886 on aktiivisesti kohdistanut käyttöiän päättyneisiin MX-reitittimiin mukautettujen takaovien käyttöönottamiseksi. Tämä kampanja korostaa heidän kykyään soluttautua sisäiseen verkkoinfrastruktuuriin käyttämällä sekä aktiivisia että passiivisia takaovia. Jotkut versiot sisältävät jopa upotettuja komentosarjoja, jotka on suunniteltu sammuttamaan lokimekanismit, jolloin hyökkääjät voivat toimia havaitsematta.

Kehittyvä uhkaryhmä

UNC3886 on hyödyntänyt nollapäivän haavoittuvuuksia Fortinet-, Ivanti- ja VMware-laitteissa verkkojen rikkomiseksi ja pitkäaikaisen pysyvyyden luomiseksi. Tämä uusin operaatio edustaa heidän tekniikoiden kehitystä keskittyen verkkolaitteistoihin, joista usein puuttuu tietoturvavalvonta.

Syyskuussa 2022 tehdystä ensimmäisestä dokumentoidusta toiminnastaan lähtien UNC3886 on osoittanut korkeaa taitoa kohdistaa reunalaitteisiin ja virtualisointiteknologioihin, ja se on suunnattu puolustus-, teknologia- ja tietoliikennesektoreille Yhdysvalloissa ja Aasiassa.

Miksi reitityslaitteet?

Vakoiluvetoiset vastustajat ovat viime aikoina siirtyneet kohti vaarantavia reitityslaitteita. Saatuaan hallintaansa tärkeän infrastruktuurin, hyökkääjät voivat ylläpitää pitkäaikaista pääsyä ja samalla heillä on mahdollisuus suorittaa häiritseviä toimia tulevaisuudessa.

TinyShell-yhteys: valinnan ase

Viimeisin toiminta, joka havaittiin vuoden 2024 puolivälissä, sisältää implantteja, jotka perustuvat TinyShelliin, kevyeen C-pohjaiseen takaoveen, jota kiinalaiset hakkerointiryhmät, kuten Liminal Panda ja Velvet Ant, suosivat. TinyShellin avoimen lähdekoodin luonne tekee siitä käytännöllisen valinnan, joka tarjoaa helpon mukauttamisen ja vaikeuttaa vaikuttavuutta.

Tietoturvatutkijat ovat tunnistaneet kuusi erillistä TinyShelliin perustuvaa takaovea, joista jokaisella on omat toiminnallisuutensa:

  • appid (A Poorly Plagiarized Implant Daemon) – Tarjoaa tiedostonsiirron, interaktiivisen kuoren, SOCKS-välityspalvelimen ja C2-kokoonpanon muutokset.
  • to (TooObvious) – Samanlainen kuin appid, mutta erilaisilla kovakoodatuilla C2-palvelimilla.
  • irad (Internet Remote Access Daemon) – Toimii passiivisena takaovena käyttämällä pakettien haistelua ICMP-pakettien kautta.
  • lmpad (Local Memory Patching Attack Daemon) – Käyttää prosessiinjektiota lokin kirjaamisen kiertämiseen.
  • jdosd (Junos Denial of Service Daemon) – UDP-takaovi, jossa on etäkäskyominaisuudet.
  • oemd (Obscure Enigmatic Malware Daemon) – Passiivinen takaovi, joka käyttää TCP:tä viestimään C2-palvelimien kanssa.

Ohita Junos OS -turvallisuussuojaukset

Hyökkääjät ovat kehittäneet menetelmiä haittaohjelmien suorittamiseen huolimatta Junos OS:n Verified Exec (veriexec) -suojauksista, jotka on suunniteltu estämään luvaton koodin suorittaminen. Saatuaan etuoikeutetun pääsyn päätepalvelimen kautta he ruiskuttavat haitallisia hyötykuormia laillisiin prosesseihin, varmistaen pysyvyyden ja välttäen havaitsemisen.

Lisää työkaluja Attack Arsenalissa

TinyShell-takaovien lisäksi UNC3886 ottaa käyttöön lisätyökaluja:

  • Reptile & Medusa – Rootkitit salakavalaan sinnikkyyteen.
  • PITHOOK – Käytetään SSH-todennuksen kaappaamiseen ja valtuustietojen tallentamiseen.
  • GHOOSTOWN – Suunniteltu rikosteknisten tarkoituksiin.

Juniper-laitteita käyttäviä organisaatioita kehotetaan päivittämään ne uusimpiin laiteohjelmistoversioihin näiden uhkien vähentämiseksi.

Toinen hyökkäys, toinen uhkanäyttelijä?

Mielenkiintoista on, että erillinen kampanja, nimeltään J-Magic, on kohdistettu yritystason Juniper-reitittimiin käyttämällä takaoven muunnelmaa, joka tunnetaan nimellä cd00r. Tämä toiminta johtuu kuitenkin toisesta Kiinaan liittyvästä ryhmästä, UNC4841:stä, jolla ei ole tunnettuja yhteyksiä UNC3886:n kohdistamiseen käytettyihin Juniper-reitittimiin.

CVE-2025-21590:n hyödyntäminen pysyvyyden vuoksi

Juniper Networks on vahvistanut, että viimeaikaiset infektiot käyttivät hyväkseen ainakin yhtä haavoittuvuutta – CVE-2025-21590 (CVSS v4 -pistemäärä: 6,7). Tämä Junos OS -ytimestä löydetty virhe antaa korkean tason hyökkääjille mahdollisuuden syöttää mielivaltaista koodia, mikä lopulta vaarantaa laitteen eheyden.

Korjaukset on julkaistu Junos OS -versioissa 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R1-S2, 24.242, R.4 ja 24.24R.4. Organisaatioiden on varmistettava, että ne käyttävät näitä päivitettyjä versioita.

UNC3886: Stealthin ja sinnikkyyden mestarit

UNC3886:n asiantuntemus edistyneistä järjestelmän sisäisistä ominaisuuksista näkyy sen passiivisten takaovien strategisessa käytössä, lokien peukalointissa ja rikosteknisessä kiertokulussa. Sen ensisijaisena tavoitteena on pysyä pitkällä aikavälillä ja samalla minimoida havaitsemisriskit, mikä muodostaa jatkuvan ja merkittävän kyberturvallisuushaasteen.

 

Trendaavat

Eniten katsottu

Ladataan...