UNC3886 ਸਾਈਬਰ ਜਾਸੂਸੀ ਸਮੂਹ

ਚੀਨ ਨਾਲ ਜੁੜੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਇਕਾਈ UNC3886 ਕਸਟਮ ਬੈਕਡੋਰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਅੰਤਮ-ਜੀਵਨ ਵਾਲੇ MX ਰਾਊਟਰਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੀ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਅੰਦਰੂਨੀ ਨੈੱਟਵਰਕਿੰਗ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਦੀ ਉਨ੍ਹਾਂ ਦੀ ਯੋਗਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ, ਸਰਗਰਮ ਅਤੇ ਪੈਸਿਵ ਦੋਵਾਂ ਸਮਰੱਥਾਵਾਂ ਵਾਲੇ ਬੈਕਡੋਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ। ਕੁਝ ਰੂਪਾਂ ਵਿੱਚ ਲੌਗਿੰਗ ਵਿਧੀਆਂ ਨੂੰ ਬੰਦ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਏਮਬੈਡਡ ਸਕ੍ਰਿਪਟਾਂ ਵੀ ਹੁੰਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਬਿਨਾਂ ਪਤਾ ਲਗਾਏ ਕੰਮ ਕਰਨ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਇੱਕ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਖ਼ਤਰਾ ਸਮੂਹ

UNC3886 ਦਾ ਫੋਰਟੀਨੇਟ, ਇਵਾਂਤੀ, ਅਤੇ VMware ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਉਠਾਉਣ ਦਾ ਇਤਿਹਾਸ ਰਿਹਾ ਹੈ ਤਾਂ ਜੋ ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਤੋੜਿਆ ਜਾ ਸਕੇ ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੀ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕੀਤੀ ਜਾ ਸਕੇ। ਇਹ ਨਵੀਨਤਮ ਕਾਰਵਾਈ ਉਨ੍ਹਾਂ ਦੀਆਂ ਤਕਨੀਕਾਂ ਦੇ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਨੈੱਟਵਰਕਿੰਗ ਹਾਰਡਵੇਅਰ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਜਿਸ ਵਿੱਚ ਅਕਸਰ ਸੁਰੱਖਿਆ ਨਿਗਰਾਨੀ ਦੀ ਘਾਟ ਹੁੰਦੀ ਹੈ।

ਸਤੰਬਰ 2022 ਵਿੱਚ ਆਪਣੀ ਪਹਿਲੀ ਦਸਤਾਵੇਜ਼ੀ ਗਤੀਵਿਧੀ ਤੋਂ ਬਾਅਦ, UNC3886 ਨੇ ਅਮਰੀਕਾ ਅਤੇ ਏਸ਼ੀਆ ਵਿੱਚ ਰੱਖਿਆ, ਤਕਨਾਲੋਜੀ ਅਤੇ ਦੂਰਸੰਚਾਰ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ, ਕਿਨਾਰੇ ਵਾਲੇ ਡਿਵਾਈਸਾਂ ਅਤੇ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਤਕਨਾਲੋਜੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਿੱਚ ਉੱਚ ਮੁਹਾਰਤ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ।

ਰੂਟਿੰਗ ਡਿਵਾਈਸ ਕਿਉਂ?

ਜਾਸੂਸੀ-ਸੰਚਾਲਿਤ ਵਿਰੋਧੀ ਹਾਲ ਹੀ ਵਿੱਚ ਰੂਟਿੰਗ ਡਿਵਾਈਸਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਵੱਲ ਵਧੇ ਹਨ। ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਕੇ, ਹਮਲਾਵਰ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖ ਸਕਦੇ ਹਨ ਅਤੇ ਭਵਿੱਖ ਵਿੱਚ ਵਿਘਨਕਾਰੀ ਗਤੀਵਿਧੀਆਂ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਵੀ ਰੱਖਦੇ ਹਨ।

ਟਿੰਨੀਸ਼ੈਲ ਕਨੈਕਸ਼ਨ: ਇੱਕ ਪਸੰਦੀਦਾ ਹਥਿਆਰ

2024 ਦੇ ਮੱਧ ਵਿੱਚ ਖੋਜੀ ਗਈ ਨਵੀਨਤਮ ਗਤੀਵਿਧੀ ਵਿੱਚ ਟਿਨੀਸ਼ੈਲ 'ਤੇ ਅਧਾਰਤ ਇਮਪਲਾਂਟ ਸ਼ਾਮਲ ਹਨ, ਇੱਕ ਹਲਕਾ ਸੀ-ਅਧਾਰਤ ਬੈਕਡੋਰ ਜੋ ਚੀਨੀ ਹੈਕਿੰਗ ਸਮੂਹਾਂ ਜਿਵੇਂ ਕਿ ਲਿਮਿਨਲ ਪਾਂਡਾ ਅਤੇ ਵੈਲਵੇਟ ਐਂਟ ਦੁਆਰਾ ਪਸੰਦ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਟਿਨੀਸ਼ੈਲ ਦਾ ਓਪਨ-ਸੋਰਸ ਸੁਭਾਅ ਇਸਨੂੰ ਇੱਕ ਵਿਹਾਰਕ ਵਿਕਲਪ ਬਣਾਉਂਦਾ ਹੈ, ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦੇ ਹੋਏ ਅਨੁਕੂਲਤਾ ਦੀ ਸੌਖ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ।

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਟਿੰਨੀਸ਼ੈਲ ਦੇ ਆਧਾਰ 'ਤੇ ਛੇ ਵੱਖਰੇ ਬੈਕਡੋਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਹਰੇਕ ਦੀ ਆਪਣੀ ਕਾਰਜਸ਼ੀਲਤਾ ਹੈ:

• ਐਪਿਡ (ਇੱਕ ਮਾੜੀ ਚੋਰੀ ਕੀਤਾ ਇਮਪਲਾਂਟ ਡੈਮਨ) - ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ, ਇੰਟਰਐਕਟਿਵ ਸ਼ੈੱਲ, ਸੋਕਸ ਪ੍ਰੌਕਸੀ, ਅਤੇ C2 ਕੌਂਫਿਗਰੇਸ਼ਨ ਬਦਲਾਅ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
• to (TooObvious) – ਐਪਿਡ ਦੇ ਸਮਾਨ ਪਰ ਵੱਖ-ਵੱਖ ਹਾਰਡਕੋਡ ਕੀਤੇ C2 ਸਰਵਰਾਂ ਨਾਲ।
• ਇਰਾਡ (ਇੰਟਰਨੈੱਟ ਰਿਮੋਟ ਐਕਸੈਸ ਡੈਮਨ) - ICMP ਪੈਕੇਟਾਂ ਰਾਹੀਂ ਪੈਕੇਟ ਸੁੰਘਣ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਪੈਸਿਵ ਬੈਕਡੋਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।
• lmpad (ਲੋਕਲ ਮੈਮੋਰੀ ਪੈਚਿੰਗ ਅਟੈਕ ਡੈਮਨ) - ਲੌਗਿੰਗ ਤੋਂ ਬਚਣ ਲਈ ਪ੍ਰਕਿਰਿਆ ਇੰਜੈਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
• jdosd (ਜੂਨੋਸ ਸੇਵਾ ਤੋਂ ਇਨਕਾਰ ਡੈਮਨ) - ਰਿਮੋਟ ਸ਼ੈੱਲ ਸਮਰੱਥਾਵਾਂ ਵਾਲਾ ਇੱਕ UDP ਬੈਕਡੋਰ।
• oemd (ਅਸਪਸ਼ਟ ਐਨਿਗਮੈਟਿਕ ਮਾਲਵੇਅਰ ਡੈਮਨ) - C2 ਸਰਵਰਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ TCP ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਪੈਸਿਵ ਬੈਕਡੋਰ।

ਜੂਨੋਸ ਓਐਸ ਸੁਰੱਖਿਆ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ

ਹਮਲਾਵਰਾਂ ਨੇ ਜੂਨੋਸ ਓਐਸ ਦੇ ਵੈਰੀਫਾਈਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (veriexec) ਸੁਰੱਖਿਆ ਦੇ ਬਾਵਜੂਦ ਮਾਲਵੇਅਰ ਨੂੰ ਚਲਾਉਣ ਦੇ ਤਰੀਕੇ ਵਿਕਸਤ ਕੀਤੇ ਹਨ, ਜੋ ਕਿ ਅਣਅਧਿਕਾਰਤ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਰੋਕਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਇੱਕ ਟਰਮੀਨਲ ਸਰਵਰ ਰਾਹੀਂ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਕੇ, ਉਹ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਨੂੰ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦੇ ਹਨ, ਖੋਜ ਤੋਂ ਬਚਣ ਦੌਰਾਨ ਸਥਿਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ।

ਅਟੈਕ ਆਰਸਨਲ ਵਿੱਚ ਹੋਰ ਔਜ਼ਾਰ

TinyShell ਬੈਕਡੋਰ ਤੋਂ ਇਲਾਵਾ, UNC3886 ਵਾਧੂ ਟੂਲ ਤੈਨਾਤ ਕਰਦਾ ਹੈ:

• ਸੱਪ ਅਤੇ ਮੇਡੂਸਾ - ਗੁਪਤ ਦ੍ਰਿੜਤਾ ਲਈ ਰੂਟਕਿਟਸ।
• PITHOOK - SSH ਪ੍ਰਮਾਣੀਕਰਨ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
• ਘੋਸਟਟਾਊਨ - ਐਂਟੀ-ਫੋਰੈਂਸਿਕ ਉਦੇਸ਼ਾਂ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਜੂਨੀਪਰ ਡਿਵਾਈਸਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਇਨ੍ਹਾਂ ਖਤਰਿਆਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਉਨ੍ਹਾਂ ਨੂੰ ਨਵੀਨਤਮ ਫਰਮਵੇਅਰ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਅਪਡੇਟ ਕਰਨ ਦੀ ਜ਼ੋਰਦਾਰ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ।

ਇੱਕ ਹੋਰ ਹਮਲਾ, ਇੱਕ ਹੋਰ ਧਮਕੀ ਵਾਲਾ ਅਦਾਕਾਰ?

ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ, ਇੱਕ ਵੱਖਰੀ ਮੁਹਿੰਮ, ਜਿਸਨੂੰ J-Magic ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੇ cd00r ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਬੈਕਡੋਰ ਵੇਰੀਐਂਟ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਐਂਟਰਪ੍ਰਾਈਜ਼-ਗ੍ਰੇਡ ਜੂਨੀਪਰ ਰਾਊਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਗਤੀਵਿਧੀ ਇੱਕ ਵੱਖਰੇ ਚੀਨ ਨਾਲ ਜੁੜੇ ਸਮੂਹ, UNC4841 ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਈ ਜਾਂਦੀ ਹੈ, ਜਿਸਦਾ UNC3886 ਦੇ ਅੰਤਮ ਜੀਵਨ ਵਾਲੇ ਜੂਨੀਪਰ ਰਾਊਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਨਾਲ ਕੋਈ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਸਬੰਧ ਨਹੀਂ ਹੈ।

ਦ੍ਰਿੜਤਾ ਲਈ CVE-2025-21590 ਦੀ ਵਰਤੋਂ ਕਰਨਾ

ਜੂਨੀਪਰ ਨੈੱਟਵਰਕਸ ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ ਕਿ ਹਾਲੀਆ ਇਨਫੈਕਸ਼ਨਾਂ ਨੇ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਹੈ—CVE-2025-21590 (CVSS v4 ਸਕੋਰ: 6.7)। ਜੂਨੋਸ OS ਕਰਨਲ ਵਿੱਚ ਪਾਇਆ ਗਿਆ ਇਹ ਨੁਕਸ, ਉੱਚ-ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਹਮਲਾਵਰਾਂ ਨੂੰ ਮਨਮਾਨੇ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਅੰਤ ਵਿੱਚ ਡਿਵਾਈਸ ਦੀ ਇਕਸਾਰਤਾ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦਾ ਹੈ।

ਪੈਚ ਜੂਨੋਸ ਓਐਸ ਵਰਜਨ 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2, ਅਤੇ 24.4R1 ਵਿੱਚ ਜਾਰੀ ਕੀਤੇ ਗਏ ਹਨ। ਸੰਗਠਨਾਂ ਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਉਹ ਇਹਨਾਂ ਅੱਪਡੇਟ ਕੀਤੇ ਵਰਜਨਾਂ ਨੂੰ ਚਲਾ ਰਹੇ ਹਨ।

UNC3886: ਸਟੀਲਥ ਅਤੇ ਦ੍ਰਿੜਤਾ ਦੇ ਮਾਲਕ

UNC3886 ਦੀ ਉੱਨਤ ਸਿਸਟਮ ਇੰਟਰਨਲ ਵਿੱਚ ਮੁਹਾਰਤ ਪੈਸਿਵ ਬੈਕਡੋਰ, ਲੌਗ ਟੈਂਪਰਿੰਗ, ਅਤੇ ਫੋਰੈਂਸਿਕ ਚੋਰੀ ਦੀ ਰਣਨੀਤਕ ਵਰਤੋਂ ਵਿੱਚ ਸਪੱਸ਼ਟ ਹੈ। ਇਸਦਾ ਮੁੱਖ ਟੀਚਾ ਖੋਜ ਜੋਖਮਾਂ ਨੂੰ ਘੱਟ ਕਰਦੇ ਹੋਏ ਲੰਬੇ ਸਮੇਂ ਦੀ ਸਥਿਰਤਾ ਰਹਿੰਦਾ ਹੈ, ਜੋ ਇੱਕ ਨਿਰੰਤਰ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਚੁਣੌਤੀ ਪੇਸ਼ ਕਰਦਾ ਹੈ।