Скидка на мультилицензию
База данных угроз Вредоносное ПО Группа кибершпионажа UNC3886

Группа кибершпионажа UNC3886

К Mezo году в Вредоносное ПО, Бэкдоры году
Перевести на:
Русский

Связанная с Китаем кибершпионская организация UNC3886 активно атакует маршрутизаторы MX с истекшим сроком эксплуатации для развертывания пользовательских бэкдоров. Эта кампания подчеркивает их способность проникать во внутреннюю сетевую инфраструктуру, используя бэкдоры как с активными, так и с пассивными возможностями. Некоторые варианты даже содержат встроенные скрипты, предназначенные для отключения механизмов регистрации, что позволяет злоумышленникам действовать незамеченными.

Группа эволюционирующих угроз

UNC3886 имеет историю использования уязвимостей нулевого дня в устройствах Fortinet, Ivanti и VMware для взлома сетей и установления долгосрочного сохранения. Эта последняя операция представляет собой эволюцию их методов, фокусируясь на сетевом оборудовании, которое часто не имеет мониторинга безопасности.

С момента первой задокументированной активности в сентябре 2022 года UNC3886 продемонстрировал высокую эффективность в атаках на периферийные устройства и технологии виртуализации, нацеленные на оборонный, технологический и телекоммуникационный секторы в США и Азии.

Почему именно маршрутизаторы?

Шпионские злоумышленники недавно переключились на компрометацию устройств маршрутизации. Получив контроль над важнейшей инфраструктурой, злоумышленники могут поддерживать длительный доступ, а также иметь возможность проводить подрывную деятельность в будущем.

Связь с TinyShell: оружие выбора

Последняя активность, обнаруженная в середине 2024 года, связана с имплантами на основе TinyShell, легкого бэкдора на языке C, который предпочитают китайские хакерские группы, такие как Liminal Panda и Velvet Ant. Открытый исходный код TinyShell делает его практичным выбором, предлагая простоту настройки, но усложняя атрибуцию.

Исследователи безопасности выявили шесть различных бэкдоров на основе TinyShell, каждый из которых имеет свою собственную функциональность:

  • appid (плохо скопированный демон Implant) — обеспечивает передачу файлов, интерактивную оболочку, прокси-сервер SOCKS и изменение конфигурации C2.
  • (TooObvious) – Аналогично appid, но с другими жестко закодированными серверами C2.
  • irad (Internet Remote Access Daemon) — действует как пассивный бэкдор, используя перехват пакетов через пакеты ICMP.
  • lmpad (Local Memory Patching Attack Daemon) — использует внедрение процесса для обхода регистрации.
  • jdosd (Junos Denial of Service Daemon) — бэкдор UDP с возможностями удаленной оболочки.
  • oemd (Obscure Enigmatic Malware Daemon) — пассивный бэкдор, использующий TCP для связи с серверами C2.

Обход средств защиты ОС Junos

Атакующие разработали методы для выполнения вредоносного ПО, несмотря на защиту Junos OS Verified Exec (veriexec), которая предназначена для предотвращения несанкционированного выполнения кода. Получая привилегированный доступ через терминальный сервер, они внедряют вредоносные полезные нагрузки в легитимные процессы, обеспечивая сохранение и избегая обнаружения.

Больше инструментов в арсенале атаки

Помимо бэкдоров TinyShell, UNC3886 использует дополнительные инструменты:

  • Reptile & Medusa – руткиты для скрытного существования.
  • PITHOOK – используется для перехвата аутентификации SSH и захвата учетных данных.
  • GHOSTTOWN – Разработан для целей противодействия криминалистике.

Организациям, использующим устройства Juniper, настоятельно рекомендуется обновить их прошивку до последних версий, чтобы снизить эти угрозы.

Еще одна атака, еще один источник угрозы?

Интересно, что отдельная кампания, получившая название J-Magic, была нацелена на маршрутизаторы Juniper корпоративного уровня с использованием варианта бэкдора, известного как cd00r. Однако эта деятельность приписывается другой связанной с Китаем группе, UNC4841, не имеющей известных связей с UNC3886, нацеленной на маршрутизаторы Juniper с истекшим сроком эксплуатации.

Использование CVE-2025-21590 для обеспечения устойчивости

Juniper Networks подтвердила, что недавние заражения использовали по крайней мере одну уязвимость — CVE-2025-21590 (оценка CVSS v4: 6.7). Эта уязвимость, обнаруженная в ядре ОС Junos, позволяет высокопривилегированным злоумышленникам внедрять произвольный код, в конечном итоге нарушая целостность устройства.

Патчи были выпущены в версиях Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 и 24.4R1. Организации должны убедиться, что они используют эти обновленные версии.

UNC3886: Мастера скрытности и настойчивости

Опыт UNC3886 в области передовых внутренних систем очевиден в стратегическом использовании пассивных бэкдоров, подделки журналов и криминалистического уклонения. Его главной целью остается долгосрочная устойчивость при минимизации рисков обнаружения, что представляет собой постоянную и значительную проблему кибербезопасности.

 

В тренде

Блокировщик рекламы Omega

Потенциально нежелательные программы, Рекламное ПО
Защита устройств от навязчивого и ненадежного программного обеспечения является критически важным аспектом безопасности в Интернете. Многие программы, рекламируемые как полезные инструменты, часто...

Приложение Koaiw

Потенциально нежелательные программы, Рекламное ПО, Вредоносное ПО
Потенциально нежелательные программы (ПНП) не всегда кажутся вредоносными на первый взгляд, но они часто представляют риски, которые ставят под угрозу производительность, безопасность и...

Наиболее просматриваемые

Загрузка...