Ponuda s popustom na više licenci
Baza prijetnji Malware UNC3886 Grupa za kibernetičku špijunažu

UNC3886 Grupa za kibernetičku špijunažu

Do Mezo. Malware, Stražnja vrata. godine
Prevedi na:
Hrvatski

Cyber špijunažni entitet UNC3886 povezan s Kinom aktivno je ciljao MX usmjerivače na kraju životnog vijeka za implementaciju prilagođenih stražnjih vrata. Ova kampanja naglašava njihovu sposobnost da se infiltriraju u unutarnju mrežnu infrastrukturu, koristeći stražnja vrata s aktivnim i pasivnim mogućnostima. Neke varijante čak sadrže ugrađene skripte dizajnirane za isključivanje mehanizama za bilježenje, omogućujući napadačima da djeluju neotkriveni.

Grupa prijetnji koja se razvija

UNC3886 ima povijest iskorištavanja ranjivosti nultog dana u uređajima Fortinet, Ivanti i VMware za probijanje mreža i uspostavljanje dugoročne postojanosti. Ova posljednja operacija predstavlja evoluciju njihovih tehnika, fokusirajući se na mrežni hardver kojem često nedostaje sigurnosni nadzor.

Od svoje prve dokumentirane aktivnosti u rujnu 2022., UNC3886 pokazao je visoku stručnost u ciljanju rubnih uređaja i virtualizacijskih tehnologija, ciljajući na obrambeni, tehnološki i telekomunikacijski sektor u SAD-u i Aziji.

Zašto uređaji za usmjeravanje?

Protivnici vođeni špijunažom nedavno su se okrenuli kompromitiranju uređaja za usmjeravanje. Stjecanjem kontrole nad ključnom infrastrukturom, napadači mogu zadržati produljeni pristup dok također imaju potencijal za provođenje razornih aktivnosti u budućnosti.

TinyShell Connection: oružje izbora

Najnovija aktivnost, otkrivena sredinom 2024., uključuje implantate temeljene na TinyShell-u, laganom backdooru temeljenom na C-u koji favoriziraju kineske hakerske skupine kao što su Liminal Panda i Velvet Ant. Priroda otvorenog koda TinyShell-a čini ga praktičnim izborom, nudeći jednostavnost prilagodbe uz kompliciranje atribucije.

Sigurnosni istraživači identificirali su šest različitih stražnjih vrata temeljenih na TinyShellu, od kojih svaki ima svoju funkcionalnost:

  • appid (Loše plagirani demon implantata) – Omogućuje prijenos datoteka, interaktivnu ljusku, SOCKS proxy i promjene konfiguracije C2.
  • do (TooObvious) – Slično appid-u, ali s različitim tvrdo kodiranim C2 poslužiteljima.
  • irad (Internet Remote Access Daemon) – Djeluje kao pasivna stražnja vrata koristeći njuškanje paketa putem ICMP paketa.
  • lmpad (Local Memory Patching Attack Daemon) – Koristi proces ubrizgavanja za izbjegavanje zapisivanja.
  • jdosd (Junos Denial of Service Daemon) – UDP backdoor s mogućnostima udaljene ljuske.
  • oemd (Obscure Enigmatic Malware Daemon) – Pasivni backdoor koji koristi TCP za komunikaciju s C2 poslužiteljima.

Zaobilaženje sigurnosnih zaštita Junos OS-a

Napadači su razvili metode za pokretanje zlonamjernog softvera usprkos zaštiti Junos OS Verified Exec (veriexec), koja je dizajnirana da spriječi neovlašteno izvršavanje koda. Dobivanjem privilegiranog pristupa preko terminalskog poslužitelja, oni ubacuju zlonamjerne sadržaje u legitimne procese, osiguravajući postojanost dok izbjegavaju otkrivanje.

Više alata u Attack Arsenalu

Osim stražnjih vrata TinyShell, UNC3886 postavlja dodatne alate:

  • Reptile & Medusa – Rootkitovi za skrivenu upornost.
  • PITHOOK – Koristi se za otmicu SSH autentifikacije i snimanje vjerodajnica.
  • GHOSTTOWN – Dizajniran za antiforenzičke svrhe.

Organizacijama koje koriste uređaje Juniper toplo se savjetuje da ih ažuriraju na najnovije verzije firmvera kako bi ublažile ove prijetnje.

Još jedan napad, još jedan akter prijetnje?

Zanimljivo je da je zasebna kampanja, nazvana J-Magic, ciljala Juniper usmjerivače poslovne razine koji koriste backdoor varijantu poznatu kao cd00r. Međutim, ova se aktivnost pripisuje drugoj grupi povezanoj s Kinom, UNC4841, bez poznatih veza s ciljanjem UNC3886 na Juniper usmjerivače na kraju životnog vijeka.

Iskorištavanje CVE-2025-21590 za postojanost

Juniper Networks potvrdio je da su nedavne infekcije iskoristile najmanje jednu ranjivost—CVE-2025-21590 (CVSS v4 rezultat: 6,7). Ovaj nedostatak, pronađen u jezgri Junos OS-a, omogućuje napadačima s visokim privilegijama da ubace proizvoljan kod, što u konačnici ugrožava integritet uređaja.

Zakrpe su objavljene u verzijama Junos OS-a 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 i 24.4R1. Organizacije moraju osigurati da pokreću ove ažurirane verzije.

UNC3886: Majstori pritajenosti i upornosti

UNC3886-ova stručnost u naprednim internim sustavima očita je u njegovoj strateškoj upotrebi pasivnih stražnjih vrata, neovlaštenom mijenjanju dnevnika i forenzičkom izbjegavanju. Njegov primarni cilj ostaje dugoročna postojanost uz minimiziranje rizika otkrivanja, što predstavlja stalan i značajan izazov kibernetičke sigurnosti.

 

U trendu

Nagledanije

Učitavam...