Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa UNC3886 kibernetinio šnipinėjimo grupė

UNC3886 kibernetinio šnipinėjimo grupė

Autorius Mezo, Kenkėjiška programa, Užpakalinės durys
Versti į:
Lietuvių

Su Kinija susijęs kibernetinio šnipinėjimo subjektas UNC3886 aktyviai taikosi į nebenaudojamus MX maršrutizatorius, siekdamas įdiegti pasirinktines užpakalines duris. Ši kampanija pabrėžia jų gebėjimą įsiskverbti į vidinę tinklų infrastruktūrą, naudojant užpakalines duris su aktyviomis ir pasyviomis galimybėmis. Kai kuriuose variantuose netgi yra įterptųjų scenarijų, skirtų išjungti registravimo mechanizmus, leidžiančius užpuolikams veikti nepastebimai.

Besivystanti grėsmių grupė

UNC3886 naudoja nulinės dienos pažeidžiamumą Fortinet, Ivanti ir VMware įrenginiuose, kad galėtų pažeisti tinklus ir užtikrinti ilgalaikį išlikimą. Ši naujausia operacija atspindi jų metodų evoliuciją, daugiausia dėmesio skiriant tinklo aparatūrai, kuriai dažnai trūksta saugumo stebėjimo.

Nuo pirmosios dokumentais patvirtintos veiklos 2022 m. rugsėjo mėn., UNC3886 demonstravo aukštus įgūdžius taikydamas pažangiausius įrenginius ir virtualizacijos technologijas, skirtas gynybos, technologijų ir telekomunikacijų sektoriams JAV ir Azijoje.

Kodėl maršruto parinkimo įrenginiai?

Šnipinėjimo skatinami priešai pastaruoju metu perėjo prie kompromituojančių maršruto parinkimo įrenginių. Įgiję svarbiausios infrastruktūros kontrolę, užpuolikai gali išlaikyti ilgalaikę prieigą, o ateityje gali imtis žalingos veiklos.

„TinyShell“ ryšys: pasirinkimo ginklas

Naujausia veikla, aptikta 2024 m. viduryje, apima implantus, paremtus TinyShell – lengvu C pagrindu sukurtu užpakaliniu dureliu, kurį mėgsta Kinijos įsilaužėlių grupės, tokios kaip Liminal Panda ir Velvet Ant. „TinyShell“ atvirojo kodo prigimtis yra praktiškas pasirinkimas, nes lengva tinkinti ir apsunkina priskyrimą.

Saugumo tyrėjai nustatė šešias atskiras „TinyShell“ užpakalines duris, kurių kiekviena turi savo funkcijas:

  • appid (A Poorly Plagiarized Implant Daemon) – teikia failų perkėlimą, interaktyvų apvalkalą, SOCKS tarpinį serverį ir C2 konfigūracijos pakeitimus.
  • į (TooBvious) – panašus į appid, bet su skirtingais kietojo kodo C2 serveriais.
  • irad (Internet Remote Access Daemon) – veikia kaip pasyvios užpakalinės durys, naudojant paketų uostymą per ICMP paketus.
  • lmpad (Local Memory Patching Attack Daemon) – naudoja proceso įpurškimą, kad išvengtų registravimo.
  • jdosd („Junos Denial of Service Daemon“) – UDP užpakalinės durys su nuotolinio apvalkalo galimybėmis.
  • oemd (Obscure Enigmatic Malware Daemon) – pasyvios užpakalinės durys, naudojančios TCP ryšį su C2 serveriais.

Apeinant Junos OS saugos apsaugą

Užpuolikai sukūrė kenkėjiškų programų vykdymo metodus, nepaisant „Junos OS“ Verified Exec (veriexec) apsaugos, skirtos užkirsti kelią neteisėtam kodo vykdymui. Gavę privilegijuotą prieigą per terminalo serverį, jie įveda kenksmingus krovinius į teisėtus procesus, užtikrindami atkaklumą ir išvengdami aptikimo.

Daugiau įrankių puolimo arsenale

Be TinyShell galinių durų, UNC3886 diegia papildomus įrankius:

  • Reptile & Medusa – Rootkits slaptam atkaklumui.
  • PITHOOK – naudojamas SSH autentifikavimui užgrobti ir kredencialams užfiksuoti.
  • „GHOSTTOWN“ – sukurtas antikriminalistikos tikslams.

Organizacijoms, naudojančioms Juniper įrenginius, primygtinai rekomenduojama juos atnaujinti į naujausias programinės įrangos versijas, kad būtų sumažintos šios grėsmės.

Kitas puolimas, dar vienas grėsmės veikėjas?

Įdomu tai, kad atskira kampanija, pavadinta „J-Magic“, buvo skirta įmonės lygio „Juniper“ maršrutizatoriams, naudojantiems užpakalinių durų variantą, žinomą kaip cd00r. Tačiau ši veikla priskiriama kitai su Kinija susijusiai grupei UNC4841, neturinčiai jokių žinomų ryšių su UNC3886 taikymu dėl eksploatacijos pabaigos Juniper maršrutizatorių.

CVE-2025-21590 naudojimas patvarumui

„Juniper Networks“ patvirtino, kad naujausios infekcijos išnaudojo bent vieną pažeidžiamumą – CVE-2025-21590 (CVSS v4 balas: 6,7). Šis „Junos“ OS branduolyje aptiktas trūkumas leidžia aukštų privilegijų turintiems užpuolikams įvesti savavališką kodą, galiausiai pažeidžiant įrenginio vientisumą.

Pataisymai buvo išleisti Junos OS versijose 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R1-S2, 24.24R.4 ir 24.24R.4 Organizacijos turi užtikrinti, kad jos naudotų šias atnaujintas versijas.

UNC3886: slaptumo ir atkaklumo meistrai

UNC3886 patirtis pažangių sistemų viduje yra akivaizdi strategiškai naudojant pasyvias galines duris, klastojant žurnalus ir vengiant teismo ekspertizės. Pagrindinis jos tikslas išlieka ilgalaikis atkaklumas, kartu sumažinant aptikimo riziką, kuri kelia nuolatinį ir didelį kibernetinio saugumo iššūkį.

 

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
23,936
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...