Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare UNC3886 Cyber Spionage Group

UNC3886 Cyber Spionage Group

Med Mezo i Skadelig programvare, Bakdører
Oversett til:
Norsk

Den Kina-tilknyttede cyberspionasjeenheten UNC3886 har aktivt rettet MX-rutere mot slutten av livet for å distribuere tilpassede bakdører. Denne kampanjen understreker deres evne til å infiltrere intern nettverksinfrastruktur, ved å bruke bakdører med både aktive og passive funksjoner. Noen varianter inneholder til og med innebygde skript designet for å slå av loggingsmekanismer, slik at angripere kan operere uoppdaget.

En trusselgruppe i utvikling

UNC3886 har en historie med å utnytte nulldagssårbarheter i Fortinet-, Ivanti- og VMware-enheter for å bryte nettverk og etablere langsiktig utholdenhet. Denne siste operasjonen representerer en utvikling av deres teknikker, med fokus på nettverksmaskinvare som ofte mangler sikkerhetsovervåking.

Siden deres første dokumenterte aktivitet i september 2022, har UNC3886 demonstrert høy kompetanse i målretting mot avanserte enheter og virtualiseringsteknologier, rettet mot forsvar, teknologi og telekommunikasjonssektorer i USA og Asia.

Hvorfor ruting av enheter?

Spionasjedrevne motstandere har nylig gått over til å kompromittere ruteenheter. Ved å få kontroll over viktig infrastruktur kan angripere opprettholde langvarig tilgang samtidig som de har potensial til å utføre forstyrrende aktiviteter i fremtiden.

The TinyShell Connection: A Weapon of Choice

Den siste aktiviteten, oppdaget i midten av 2024, involverer implantater basert på TinyShell, en lett C-basert bakdør foretrukket av kinesiske hackergrupper som Liminal Panda og Velvet Ant. TinyShells åpen kildekode gjør det til et praktisk valg, og tilbyr enkel tilpasning samtidig som det kompliserer attribusjon.

Sikkerhetsforskere har identifisert seks forskjellige bakdører basert på TinyShell, hver med sin egen funksjonalitet:

  • appid (A Poorly Plagiarized Implant Daemon) – Gir filoverføring, interaktivt skall, SOCKS-proxy og C2-konfigurasjonsendringer.
  • til (TooObvious) – Ligner på appid, men med forskjellige hardkodede C2-servere.
  • irad (Internet Remote Access Daemon) – Fungerer som en passiv bakdør ved å bruke pakkesniffing via ICMP-pakker.
  • lmpad (Local Memory Patching Attack Daemon) – Bruker prosessinjeksjon for å unngå logging.
  • jdosd (Junos Denial of Service Daemon) – En UDP-bakdør med eksterne skallfunksjoner.
  • oemd (Obscure Enigmatic Malware Daemon) – En passiv bakdør som bruker TCP for å kommunisere med C2-servere.

Omgå Junos OS-sikkerhetsbeskyttelsen

Angriperne har utviklet metoder for å utføre skadelig programvare til tross for Junos OS' Verified Exec (veriexec)-beskyttelse, som er designet for å forhindre uautorisert kodekjøring. Ved å skaffe privilegert tilgang via en terminalserver, injiserer de ondsinnede nyttelaster i legitime prosesser, og sikrer utholdenhet mens de unngår oppdagelse.

Flere verktøy i angrepsarsenalet

I tillegg til TinyShell-bakdører, distribuerer UNC3886 ytterligere verktøy:

  • Reptil og Medusa – Rootkits for snikende utholdenhet.
  • PITHOOK – Brukes til å kapre SSH-autentisering og registrere legitimasjon.
  • GHOSTTOWN – Designet for anti-kriminaltekniske formål.

Organisasjoner som bruker Juniper-enheter anbefales på det sterkeste å oppdatere dem til de nyeste fastvareversjonene for å redusere disse truslene.

Et annet angrep, en annen trussel skuespiller?

Interessant nok har en egen kampanje, kalt J-Magic, målrettet Juniper-rutere i bedriftsklasse ved å bruke en bakdørsvariant kjent som cd00r. Denne aktiviteten tilskrives imidlertid en annen Kina-tilknyttet gruppe, UNC4841, uten kjente bånd til UNC3886s målretting mot utgåtte Juniper-rutere.

Utnytter CVE-2025-21590 for utholdenhet

Juniper Networks har bekreftet at de nylige infeksjonene utnyttet minst én sårbarhet – CVE-2025-21590 (CVSS v4-score: 6,7). Denne feilen, som finnes i Junos OS-kjernen, tillater angripere med høyt privilegium å injisere vilkårlig kode, og til slutt kompromittere enhetens integritet.

Patcher har blitt utgitt i Junos OS-versjoner 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R og 24.2R. Organisasjoner må sørge for at de kjører disse oppdaterte versjonene.

UNC3886: Masters of Stealth and Persistence

UNC3886s ekspertise innen avansert systeminternt er tydelig i dens strategiske bruk av passive bakdører, manipulering av tømmerstokker og rettsmedisinsk unndragelse. Dens primære mål er fortsatt langsiktig utholdenhet samtidig som det minimerer oppdagelsesrisikoer, noe som utgjør en pågående og betydelig cybersikkerhetsutfordring.

 

Trender

Mest sett

Laster inn...