UNC3886 קבוצת ריגול סייבר

ישות ריגול הסייבר המקושרת לסין UNC3886 מכוונת באופן פעיל לנתבי MX סוף החיים כדי לפרוס דלתות אחוריות מותאמות אישית. מסע פרסום זה מדגיש את יכולתם לחדור לתשתית רשת פנימית, תוך שימוש בדלתות אחוריות עם יכולות אקטיביות ופסיביות כאחד. גרסאות מסוימות אפילו מכילות סקריפטים משובצים שנועדו לכבות מנגנוני רישום, ולאפשר לתוקפים לפעול ללא זיהוי.

קבוצת איומים מתפתחת

ל-UNC3886 יש היסטוריה של מינוף פגיעויות של יום אפס במכשירי Fortinet, Ivanti ו-VMware כדי לפרוץ רשתות וליצור התמדה לטווח ארוך. הפעולה האחרונה מייצגת התפתחות של הטכניקות שלהם, תוך התמקדות בחומרת רשת שלעתים קרובות חסרה ניטור אבטחה.

מאז הפעילות המתועדת הראשונה שלהם בספטמבר 2022, UNC3886 הוכיחה מיומנות גבוהה במיקוד למכשירי קצה וטכנולוגיות וירטואליזציה, המכוונות למגזרי הגנה, טכנולוגיה וטלקומוניקציה בארה"ב ובאסיה.

למה ניתוב התקנים?

יריבים מונעי ריגול עברו לאחרונה לעבר התפשרות על התקני ניתוב. על ידי השגת שליטה על תשתית חיונית, התוקפים יכולים לשמור על גישה ממושכת תוך שהם בעלי פוטנציאל לבצע פעילויות משבשות בעתיד.

The TinyShell Connection: נשק של בחירה

הפעילות האחרונה, שהתגלתה באמצע 2024, כוללת שתלים המבוססים על TinyShell, דלת אחורית קלת משקל מבוססת C המועדפת על קבוצות פריצה סיניות כמו Liminal Panda ו-Velvet Ant. אופי הקוד הפתוח של TinyShell הופך אותה לבחירה מעשית, ומציעה קלות התאמה אישית תוך סיבוך הייחוס.

חוקרי אבטחה זיהו שש דלתות אחוריות שונות המבוססות על TinyShell, כל אחת עם פונקציונליות משלה:

• appid (A Poorly Plagiarized Implant Daemon) - מספק העברת קבצים, מעטפת אינטראקטיבית, SOCKS proxy ושינויי תצורה של C2.
• to (TooObvious) - דומה ל-appid אבל עם שרתי C2 מקודדים שונים.
• irad (Internet Remote Access Daemon) - פועל כדלת אחורית פסיבית באמצעות רחרוח מנות באמצעות מנות ICMP.
• lmpad (Daemon לתיקון זיכרון מקומי) - משתמש בהזרקת תהליך כדי להתחמק מרישום.
• jdosd (Junos Denial of Service Daemon) - דלת אחורית UDP עם יכולות מעטפת מרחוק.
• oemd (Obscure Enigmatic Malware Daemon) - דלת אחורית פסיבית המשתמשת ב-TCP כדי לתקשר עם שרתי C2.

עקיפת הגנות האבטחה של מערכת ההפעלה Junos

התוקפים פיתחו שיטות להפעלת תוכנות זדוניות למרות הגנות Verified Exec (veriexec) של Junos OS, שנועדו למנוע ביצוע קוד לא מורשה. על ידי השגת גישה מיוחסת דרך שרת מסוף, הם מחדירים מטענים זדוניים לתהליכים לגיטימיים, ומבטיחים התמדה תוך התחמקות מזיהוי.

כלים נוספים בארסנל ההתקפה

מלבד דלתות אחוריות של TinyShell, UNC3886 פורס כלים נוספים:

• זוחל ומדוזה - ערכות שורש להתמדה חמקנית.
• PITHOOK - משמש לחטיפת אימות SSH ולכידת אישורים.
• GHOSTTOWN - מיועד למטרות אנטי-פורנזיות.

מומלץ מאוד לארגונים המשתמשים במכשירי Juniper לעדכן אותם לגרסאות הקושחה העדכניות ביותר כדי להפחית את האיומים הללו.

עוד התקפה, עוד שחקן איום?

מעניין לציין כי מסע פרסום נפרד, המכונה J-Magic, כיוון לנתבי Juniper בדרגה ארגונית באמצעות גרסת דלת אחורית הידועה בשם cd00r. עם זאת, פעילות זו מיוחסת לקבוצה אחרת המקושרת לסין, UNC4841, ללא קשרים ידועים למיקוד של UNC3886 לנתבי ג'וניפר קצה החיים.

ניצול CVE-2025-21590 להתמדה

ה-Juniper Networks אישרה שההדבקות האחרונות ניצלו לפחות פגיעות אחת - CVE-2025-21590 (ציון CVSS v4: 6.7). פגם זה, שנמצא בליבת מערכת ההפעלה Junos, מאפשר לתוקפים בעלי זכויות יתר להחדיר קוד שרירותי, ובסופו של דבר פוגע בשלמות המכשיר.

התיקונים שוחררו בגרסאות מערכת ההפעלה Junos 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R, 24.2R, 24.2R. ארגונים חייבים לוודא שהם מריצים את הגרסאות המעודכנות הללו.

UNC3886: מאסטרים של התגנבות והתמדה

המומחיות של UNC3886 במבנים פנימיים מתקדמים של המערכת ניכרת בשימוש האסטרטגי שלו בדלתות אחוריות פסיביות, התעסקות בבולי עץ והתחמקות משפטית. המטרה העיקרית שלו היא התמדה לטווח ארוך תוך מזעור סיכוני גילוי, מה שמציב אתגר אבטחת סייבר מתמשך ומשמעותי.