Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra UNC3886 kiberspiegošanas grupa

UNC3886 kiberspiegošanas grupa

Līdz Mezo. gadam Ļaunprātīga programmatūra, Aizmugures durvis. gadā
Tulkot uz:
Latviešu

Ar Ķīnu saistītā kiberspiegošanas uzņēmums UNC3886 ir aktīvi mērķējis uz nolietotiem MX maršrutētājiem, lai izvietotu pielāgotas aizmugures durvis. Šī kampaņa uzsver viņu spēju iefiltrēties iekšējā tīkla infrastruktūrā, izmantojot aizmugures durvis ar aktīvām un pasīvām iespējām. Dažos variantos ir pat iegulti skripti, kas paredzēti reģistrēšanas mehānismu izslēgšanai, ļaujot uzbrucējiem darboties neatklātiem.

Attīstoša draudu grupa

UNC3886 ir izmantojis nulles dienas ievainojamības Fortinet, Ivanti un VMware ierīcēs, lai uzlauztu tīklus un izveidotu ilgtermiņa noturību. Šī jaunākā operācija atspoguļo viņu metožu attīstību, koncentrējoties uz tīkla aparatūru, kurai bieži trūkst drošības uzraudzības.

Kopš pirmās dokumentētās darbības 2022. gada septembrī, UNC3886 ir pierādījis augstu prasmi mērķēt uz malām ierīcēm un virtualizācijas tehnoloģijām, kuru mērķis ir ASV un Āzijas aizsardzības, tehnoloģiju un telekomunikāciju nozares.

Kāpēc maršrutēšanas ierīces?

Spiegošanas vadīti pretinieki pēdējā laikā ir pārgājuši uz kompromitējošām maršrutēšanas ierīcēm. Iegūstot kontroli pār svarīgo infrastruktūru, uzbrucēji var saglabāt ilgstošu piekļuvi, vienlaikus varot arī nākotnē veikt traucējošas darbības.

TinyShell savienojums: izvēles ierocis

Jaunākā darbība, kas tika atklāta 2024. gada vidū, ir saistīta ar implantiem, kuru pamatā ir TinyShell — vieglas C bāzes aizmugures durvis, ko iecienījuši Ķīnas hakeru grupas, piemēram, Liminal Panda un Velvet Ant. TinyShell atvērtā pirmkoda būtība padara to par praktisku izvēli, piedāvājot vieglu pielāgošanu, vienlaikus apgrūtinot attiecināšanu.

Drošības pētnieki ir identificējuši sešas atšķirīgas aizmugures durvis, kuru pamatā ir TinyShell, un katrai no tām ir sava funkcionalitāte:

  • appid (slikti plaģiāts implantu dēmons) — nodrošina failu pārsūtīšanu, interaktīvu apvalku, SOCKS starpniekserveri un C2 konfigurācijas izmaiņas.
  • uz (Pārāk acīmredzams) – līdzīgs appid, bet ar dažādiem cietā kodiem C2 serveriem.
  • irad (interneta attālās piekļuves dēmons) — darbojas kā pasīva aizmugures durvis, izmantojot pakešu sniffing, izmantojot ICMP paketes.
  • lmpad (vietējās atmiņas ielāpu uzbrukuma dēmons) — izmanto procesa ievadīšanu, lai izvairītos no reģistrēšanas.
  • jdosd (Junos Denial of Service Daemon) — UDP aizmugures durvis ar attālinātas čaulas iespējām.
  • oemd (Obscure Enigmatic Malware Daemon) – pasīva aizmugures durvis, kas izmanto TCP, lai sazinātos ar C2 serveriem.

Junos OS drošības aizsardzības pasākumu apiešana

Uzbrucēji ir izstrādājuši metodes ļaunprātīgas programmatūras izpildei, neskatoties uz Junos OS Verified Exec (veriexec) aizsardzību, kas paredzēta, lai novērstu nesankcionētu koda izpildi. Iegūstot priviliģētu piekļuvi, izmantojot termināļa serveri, tie ievada ļaunprātīgas slodzes likumīgos procesos, nodrošinot noturību, vienlaikus izvairoties no atklāšanas.

Vairāk rīku uzbrukuma arsenālā

Papildus TinyShell aizmugures durvīm UNC3886 izvieto papildu rīkus:

  • Reptile & Medusa — sakņu komplekti slepenai noturībai.
  • PITHOOK — izmanto, lai nolaupītu SSH autentifikāciju un tvertu akreditācijas datus.
  • GHOSTOTON — paredzēts prettiesu ekspertīzēm.

Organizācijām, kas izmanto Juniper ierīces, ir ļoti ieteicams atjaunināt tās uz jaunākajām programmaparatūras versijām, lai mazinātu šos draudus.

Vēl viens uzbrukums, vēl viens draudu aktieris?

Interesanti, ka atsevišķa kampaņa ar nosaukumu J-Magic ir mērķēta uz uzņēmuma līmeņa Juniper maršrutētājiem, izmantojot aizmugures durvju variantu, kas pazīstams kā cd00r. Tomēr šī darbība tiek attiecināta uz citu ar Ķīnu saistītu grupu UNC4841, kurai nav zināma saistība ar UNC3886 mērķtiecību uz novecojušajiem Juniper maršrutētājiem.

CVE-2025-21590 izmantošana noturībai

Uzņēmums Juniper Networks ir apstiprinājis, ka nesenās infekcijas izmantoja vismaz vienu ievainojamību — CVE-2025-21590 (CVSS v4 vērtējums: 6,7). Šis Junos OS kodolā konstatētais trūkums ļauj augsti priviliģētiem uzbrucējiem ievadīt patvaļīgu kodu, galu galā apdraudot ierīces integritāti.

Junos OS versijās 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R1-S2, 24.2R1-S2, 24.242R.4 un 24.24R. Organizācijām ir jānodrošina, ka tās izmanto šīs atjauninātās versijas.

UNC3886: Maskēšanās un neatlaidības meistari

UNC3886 zināšanas uzlaboto sistēmu iekšējās jomās ir acīmredzamas, stratēģiski izmantojot pasīvās aizmugures durvis, baļķu manipulācijas un izvairīšanos no kriminālistikas. Tās galvenais mērķis joprojām ir ilgtermiņa noturība, vienlaikus samazinot atklāšanas riskus, kas rada pastāvīgu un nozīmīgu kiberdrošības izaicinājumu.

 

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
23,936
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...