Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Kumpulan Pengintipan Siber UNC3886

Kumpulan Pengintipan Siber UNC3886

Menjelang Mezo pada perisian hasad, Pintu belakang
Terjemahkan ke
بهاس ملايو

Entiti pengintipan siber berkaitan China UNC3886 telah secara aktif menyasarkan penghala MX akhir hayat untuk menggunakan pintu belakang tersuai. Kempen ini menekankan keupayaan mereka untuk menyusup infrastruktur rangkaian dalaman, menggunakan pintu belakang dengan kedua-dua keupayaan aktif dan pasif. Sesetengah varian malah mengandungi skrip terbenam yang direka untuk mematikan mekanisme pengelogan, membenarkan penyerang beroperasi tanpa dikesan.

Kumpulan Ancaman yang Berkembang

UNC3886 mempunyai sejarah memanfaatkan kelemahan sifar hari dalam peranti Fortinet, Ivanti dan VMware untuk melanggar rangkaian dan mewujudkan kegigihan jangka panjang. Operasi terbaharu ini mewakili evolusi teknik mereka, memfokuskan pada perkakasan rangkaian yang sering kekurangan pemantauan keselamatan.

Sejak aktiviti pertama mereka yang didokumenkan pada September 2022, UNC3886 telah menunjukkan kecekapan tinggi dalam menyasarkan peranti edge dan teknologi virtualisasi, yang menyasarkan kepada sektor pertahanan, teknologi dan telekomunikasi di AS dan Asia.

Mengapa Menghalakan Peranti?

Musuh yang didorong oleh pengintipan baru-baru ini telah beralih ke arah menjejaskan peranti penghalaan. Dengan memperoleh kawalan ke atas infrastruktur penting, penyerang boleh mengekalkan akses yang berpanjangan sambil turut berpotensi untuk menjalankan aktiviti yang mengganggu pada masa hadapan.

Sambungan TinyShell: Senjata Pilihan

Aktiviti terbaharu, yang dikesan pada pertengahan 2024, melibatkan implan berdasarkan TinyShell, pintu belakang berasaskan C ringan yang digemari oleh kumpulan penggodam China seperti Liminal Panda dan Velvet Ant. Sifat sumber terbuka TinyShell menjadikannya pilihan yang praktikal, menawarkan kemudahan penyesuaian sambil merumitkan atribusi.

Penyelidik keselamatan telah mengenal pasti enam pintu belakang yang berbeza berdasarkan TinyShell, setiap satu dengan fungsinya sendiri:

  • appid (Daemon Implan yang Diciplak dengan Baik) – Menyediakan pemindahan fail, shell interaktif, proksi SOCKS dan perubahan konfigurasi C2.
  • kepada (TooObvious) – Sama seperti appid tetapi dengan pelayan C2 berkod keras yang berbeza.
  • irad (Internet Remote Access Daemon) – Bertindak sebagai pintu belakang pasif menggunakan penghidu paket melalui paket ICMP.
  • lmpad (Daemon Serangan Menampal Memori Tempatan) – Menggunakan suntikan proses untuk mengelak pembalakan.
  • jdosd (Junos Penafian Perkhidmatan Daemon) – Pintu belakang UDP dengan keupayaan cangkerang jauh.
  • oemd (Obscure Enigmatic Malware Daemon) – Pintu belakang pasif menggunakan TCP untuk berkomunikasi dengan pelayan C2.

Melangkaui Perlindungan Keselamatan OS Junos

Penyerang telah membangunkan kaedah untuk melaksanakan perisian hasad walaupun perlindungan Junos OS' Verified Exec (veriexec), yang direka untuk menghalang pelaksanaan kod tanpa kebenaran. Dengan mendapatkan akses istimewa melalui pelayan terminal, mereka menyuntik muatan berniat jahat ke dalam proses yang sah, memastikan kegigihan sambil mengelak pengesanan.

Lebih Banyak Alat dalam Attack Arsenal

Selain pintu belakang TinyShell, UNC3886 menggunakan alatan tambahan:

  • Reptilia & Medusa – Rootkits untuk kegigihan senyap.
  • PITHOOK – Digunakan untuk merampas pengesahan SSH dan menangkap bukti kelayakan.
  • GHOSTTOWN – Direka untuk tujuan anti-forensik.

Organisasi yang menggunakan peranti Juniper amat dinasihatkan untuk mengemas kini peranti tersebut kepada versi perisian tegar terkini untuk mengurangkan ancaman ini.

Lagi Serangan, Lagi Pelakon Ancaman?

Menariknya, kempen berasingan, digelar J-Magic, telah menyasarkan penghala Juniper gred perusahaan menggunakan varian pintu belakang yang dikenali sebagai cd00r. Walau bagaimanapun, aktiviti ini dikaitkan dengan kumpulan berkaitan China yang berbeza, UNC4841, tanpa kaitan yang diketahui dengan penyasaran penghala Juniper akhir hayat UNC3886.

Mengeksploitasi CVE-2025-21590 untuk Kegigihan

Rangkaian Juniper telah mengesahkan bahawa jangkitan baru-baru ini mengeksploitasi sekurang-kurangnya satu kerentanan—CVE-2025-21590 (skor CVSS v4: 6.7). Kecacatan ini, yang ditemui dalam kernel OS Junos, membolehkan penyerang berkepribadian tinggi untuk menyuntik kod sewenang-wenangnya, yang akhirnya menjejaskan integriti peranti.

Patch telah dikeluarkan dalam Junos OS versi 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2, dan Organisasi mesti memastikan mereka menjalankan versi yang dikemas kini ini.

UNC3886: Sarjana Stealth dan Kegigihan

Kepakaran UNC3886 dalam dalaman sistem termaju terbukti dalam penggunaan strategik pintu belakang pasif, gangguan log dan pengelakan forensik. Matlamat utamanya ialah kegigihan jangka panjang sambil meminimumkan risiko pengesanan, yang menimbulkan cabaran keselamatan siber yang berterusan dan penting.

 

Trending

Paling banyak dilihat

Memuatkan...