Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Grupa cybernetycznego szpiegostwa UNC3886

Grupa cybernetycznego szpiegostwa UNC3886

Do Mezo w Złośliwe oprogramowanie, Tylne drzwi
Przetłumacz na:
Polski

Powiązana z Chinami jednostka cybernetycznego szpiegostwa UNC3886 aktywnie atakuje wycofane z eksploatacji routery MX, aby wdrażać niestandardowe tylne drzwi. Ta kampania podkreśla ich zdolność do infiltracji wewnętrznej infrastruktury sieciowej, wykorzystując tylne drzwi zarówno z aktywnymi, jak i pasywnymi możliwościami. Niektóre warianty zawierają nawet osadzone skrypty zaprojektowane w celu wyłączenia mechanizmów rejestrowania, umożliwiając atakującym działanie niezauważone.

Rozwijająca się grupa zagrożeń

UNC3886 ma historię wykorzystywania luk typu zero-day w urządzeniach Fortinet, Ivanti i VMware do naruszania sieci i ustanawiania długoterminowej trwałości. Ta najnowsza operacja stanowi ewolucję ich technik, skupiając się na sprzęcie sieciowym, który często nie ma monitoringu bezpieczeństwa.

Od czasu pierwszej udokumentowanej aktywności we wrześniu 2022 r. grupa UNC3886 wykazała się wysokimi kompetencjami w zakresie urządzeń brzegowych i technologii wirtualizacji, mając na uwadze sektory obronności, technologii i telekomunikacji w USA i Azji.

Dlaczego urządzenia routujące?

Przeciwnicy napędzani szpiegostwem ostatnio przesunęli się w kierunku naruszania urządzeń routingowych. Uzyskując kontrolę nad kluczową infrastrukturą, atakujący mogą utrzymać przedłużony dostęp, mając jednocześnie potencjał do prowadzenia zakłócających działań w przyszłości.

Połączenie TinyShell: Broń pierwszego wyboru

Najnowsza aktywność, wykryta w połowie 2024 r., obejmuje implanty oparte na TinyShell, lekkim backdoorze opartym na C, preferowanym przez chińskie grupy hakerskie, takie jak Liminal Panda i Velvet Ant. Otwarty charakter TinyShell sprawia, że jest to praktyczny wybór, oferujący łatwość dostosowywania, a jednocześnie komplikujący atrybucję.

Badacze ds. bezpieczeństwa zidentyfikowali sześć odrębnych tylnych furtek opartych na TinyShell, z których każda ma własną funkcjonalność:

  • appid (słabo splagiatowany demon implantu) – zapewnia transfer plików, interaktywną powłokę, serwer proxy SOCKS i zmiany konfiguracji C2.
  • do (TooObvious) – podobne do appid, ale z innymi zakodowanymi na stałe serwerami C2.
  • irad (Internet Remote Access Daemon) – Działa jako pasywne tylne wejście wykorzystujące podsłuch pakietów za pomocą pakietów ICMP.
  • lmpad (Local Memory Patching Attack Daemon) – wykorzystuje wstrzykiwanie procesów w celu uniknięcia rejestrowania.
  • jdosd (Junos Denial of Service Daemon) – tylne wejście UDP z możliwością zdalnej powłoki.
  • oemd (Obscure Enigmatic Malware Daemon) – pasywny backdoor wykorzystujący protokół TCP do komunikacji z serwerami C2.

Omijanie zabezpieczeń systemu operacyjnego Junos

Atakujący opracowali metody uruchamiania złośliwego oprogramowania pomimo zabezpieczeń Verified Exec (veriexec) Junos OS, które mają zapobiegać nieautoryzowanemu wykonywaniu kodu. Uzyskując uprzywilejowany dostęp za pośrednictwem serwera terminali, wstrzykują złośliwe ładunki do legalnych procesów, zapewniając trwałość, jednocześnie unikając wykrycia.

Więcej narzędzi w arsenale ataku

Oprócz tylnych furtek TinyShell, UNC3886 wdraża dodatkowe narzędzia:

  • Reptile & Medusa – Rootkity zapewniające cichą wytrwałość.
  • PITHOOK – służy do przechwytywania uwierzytelniania SSH i przechwytywania danych uwierzytelniających.
  • GHOSTTOWN – Zaprojektowano do celów antykryminalistycznych.

Organizacjom wykorzystującym urządzenia Juniper zdecydowanie zaleca się aktualizację ich oprogramowania sprzętowego do najnowszej wersji w celu ograniczenia tych zagrożeń.

Kolejny atak, kolejne zagrożenie?

Co ciekawe, odrębna kampania, nazwana J-Magic, miała na celu routery Juniper klasy korporacyjnej, używając wariantu backdoor znanego jako cd00r. Jednak ta aktywność jest przypisywana innej grupie powiązanej z Chinami, UNC4841, bez znanych powiązań z UNC3886, które atakowało routery Juniper wycofane z eksploatacji.

Wykorzystanie luki CVE-2025-21590 w celu zapewnienia trwałości

Juniper Networks potwierdziło, że ostatnie infekcje wykorzystały co najmniej jedną lukę w zabezpieczeniach — CVE-2025-21590 (wynik CVSS v4: 6,7). Ta wada, znaleziona w jądrze Junos OS, umożliwia atakującym o wysokich uprawnieniach wstrzykiwanie dowolnego kodu, co ostatecznie naraża integralność urządzenia.

Wydano poprawki dla wersji Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 i 24.4R1. Organizacje muszą upewnić się, że korzystają z tych zaktualizowanych wersji.

UNC3886: Mistrzowie skradania się i wytrwałości

Ekspertyza UNC3886 w zakresie zaawansowanych wewnętrznych systemów jest widoczna w strategicznym wykorzystaniu pasywnych tylnych furtek, manipulacji logami i unikania kryminalistyki. Głównym celem pozostaje długoterminowa trwałość przy jednoczesnym minimalizowaniu ryzyka wykrycia, co stanowi ciągłe i znaczące wyzwanie dla cyberbezpieczeństwa.

 

Popularne

Najczęściej oglądane

Ładowanie...