UNC3886 Cyber Spionage Group

Mezo -ra Malware, Hátsó ajtók-ben

Fordítás ide:

A Kínához köthető kiberkémkedési szervezet, az UNC3886 aktívan megcélozta az életciklus végén lévő MX útválasztókat, hogy egyedi hátsó ajtókat telepítsenek. Ez a kampány rávilágít arra, hogy képesek beszivárogni a belső hálózati infrastruktúrába, kihasználva az aktív és passzív képességekkel rendelkező hátsó ajtókat. Egyes változatok még beágyazott szkripteket is tartalmaznak, amelyek a naplózási mechanizmusok kikapcsolására szolgálnak, lehetővé téve a támadók számára, hogy észrevétlenül működjenek.

Tartalomjegyzék

Egy fejlődő fenyegető csoport

Az UNC3886 korábban használta a Fortinet, Ivanti és VMware eszközök nulladik napi sebezhetőségeit a hálózatok feltörése és a hosszú távú fennmaradás megteremtése érdekében. Ez a legújabb művelet technikáik fejlődését mutatja be, olyan hálózati hardverekre összpontosítva, amelyek gyakran nem rendelkeznek biztonsági megfigyeléssel.

Az UNC3886 2022. szeptemberi első dokumentált tevékenysége óta nagy jártasságot mutatott az élvonalbeli eszközök és virtualizációs technológiák megcélzásában, az Egyesült Államok és Ázsia védelmi, technológiai és telekommunikációs ágazatait célozva.

Miért az eszközök útválasztása?

A kémkedés által vezérelt ellenfelek a közelmúltban az útválasztó eszközök kompromittálása felé fordultak. A kulcsfontosságú infrastruktúra feletti ellenőrzés megszerzésével a támadók hosszan tartó hozzáférést tarthatnak fenn, miközben a jövőben bomlasztó tevékenységeket is végezhetnek.

A TinyShell kapcsolat: A választás fegyvere

A legújabb, 2024 közepén észlelt tevékenység a TinyShell, egy könnyű, C-alapú hátsó ajtón alapuló implantátumokat foglalja magában, amelyet olyan kínai hackercsoportok kedveltek, mint a Liminal Panda és a Velvet Ant. A TinyShell nyílt forráskódú természete praktikus választássá teszi, egyszerű testreszabást kínálva, miközben bonyolítja a hozzárendelést.

A biztonsági kutatók hat különálló hátsó ajtót azonosítottak a TinyShell alapján, amelyek mindegyike saját funkcióval rendelkezik:

appid (A Poorly Plagiarized Implant Daemon) – Fájlátvitelt, interaktív shellt, SOCKS proxyt és C2 konfigurációs módosításokat biztosít.
to (TooBvious) – Hasonló az appid-hoz, de különböző keménykódolt C2 szerverekkel.
irad (Internet Remote Access Daemon) – Passzív hátsó ajtóként működik, ICMP-csomagokon keresztüli csomagszippantással.
lmpad (Local Memory Patching Attack Daemon) – Folyamat injekciót használ a naplózás elkerülésére.
jdosd (Junos Denial of Service Daemon) – UDP hátsó ajtó távoli shell képességekkel.
oemd (Obscure Enigmatic Malware Daemon) – TCP-t használó passzív hátsó ajtó a C2 szerverekkel való kommunikációhoz.

A Junos OS biztonsági védelmének megkerülése

A támadók módszereket fejlesztettek ki a rosszindulatú programok végrehajtására a Junos OS Verified Exec (veriexec) védelme ellenére, amelyek célja a jogosulatlan kódfuttatás megakadályozása. A terminálkiszolgálón keresztüli kiváltságos hozzáférés megszerzésével rosszindulatú rakományokat juttatnak a legitim folyamatokba, biztosítva a kitartást, miközben elkerülik az észlelést.

További eszközök az Attack Arsenalban

A TinyShell hátsó ajtókon kívül az UNC3886 további eszközöket is telepít:

Reptile & Medusa – Rootkitek a lopakodó kitartáshoz.
PITHOOK – SSH-hitelesítés eltérítésére és hitelesítő adatok rögzítésére szolgál.
GHOOSTOWN – Törvényszéki szakértői célokra tervezték.

A Juniper eszközöket használó szervezeteknek erősen javasoljuk, hogy frissítsék azokat a legújabb firmware-verziókra, hogy csökkentsék ezeket a fenyegetéseket.

Újabb támadás, újabb fenyegetés színész?

Érdekes módon egy külön kampány, a J-Magic, a vállalati szintű Juniper útválasztókat célozta meg, a cd00r néven ismert hátsó ajtó változatot használva. Ezt a tevékenységet azonban egy másik, Kínához kötődő csoportnak, az UNC4841-nek tulajdonítják, amely nem ismert kapcsolatban az UNC3886-nak az elhasználódott Juniper útválasztókkal való megcélzásával.

A CVE-2025-21590 felhasználása a kitartás érdekében

A Juniper Networks megerősítette, hogy a legutóbbi fertőzések legalább egy sebezhetőséget – a CVE-2025-21590 (CVSS v4 pontszám: 6,7) – kihasználtak. Ez a Junos operációs rendszer kernelében található hiba lehetővé teszi a magas jogosultságokkal rendelkező támadók számára tetszőleges kód beszúrását, ami végső soron veszélyezteti az eszköz integritását.

Javítások jelentek meg a Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R1-S2, 24.242 és 24.242R. A szervezeteknek biztosítaniuk kell, hogy ezeket a frissített verziókat használják.

UNC3886: A lopakodás és a kitartás mesterei

Az UNC3886 szakértelme a fejlett rendszerbelsők terén nyilvánvaló a passzív hátsó ajtók stratégiai használatában, a naplók manipulálásában és a törvényszéki kijátszásban. Elsődleges célja továbbra is a hosszú távú kitartás, miközben minimalizálja az észlelési kockázatokat, ami folyamatos és jelentős kiberbiztonsági kihívást jelent.

Az EnigmaSoft fizetési processzora, a Digital River GmbH csődbejelentése nem befolyásolja a SpyHunter ügyfelek rosszindulatú programok elleni védelmét

Keresés

Régió módosítása

UNC3886 Cyber Spionage Group

Egy fejlődő fenyegető csoport

Miért az eszközök útválasztása?

A TinyShell kapcsolat: A választás fegyvere

A Junos OS biztonsági védelmének megkerülése

További eszközök az Attack Arsenalban

Újabb támadás, újabb fenyegetés színész?

A CVE-2025-21590 felhasználása a kitartás érdekében

UNC3886: A lopakodás és a kitartás mesterei

Küldje el megjegyzését

Felkapott

Omega hirdetésblokkoló

Almoristics App

Koaiw App

Legnézettebb

„Geek Squad” e-mail átverés

„Az iPhone-ját feltörték” előugró ablakok

Rosszindulatú