Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema UNC3886 Skupina za kibernetsko vohunjenje

UNC3886 Skupina za kibernetsko vohunjenje

Do leta Mezo leta Zlonamerna programska oprema, Zadnja vrata
Prevedi v:
Slovenščina

S Kitajsko povezana entiteta za kibernetsko vohunjenje UNC3886 je aktivno ciljala na odslužene usmerjevalnike MX za uvajanje stranskih vrat po meri. Ta kampanja poudarja njihovo zmožnost infiltracije v notranjo omrežno infrastrukturo z uporabo stranskih vrat z aktivnimi in pasivnimi zmogljivostmi. Nekatere različice vsebujejo celo vdelane skripte, namenjene izklopu mehanizmov beleženja, ki napadalcem omogočajo neopaženo delovanje.

Razvijajoča se skupina groženj

UNC3886 ima zgodovino izkoriščanja ranljivosti ničelnega dne v napravah Fortinet, Ivanti in VMware za vdor v omrežja in vzpostavitev dolgoročne obstojnosti. Ta najnovejša operacija predstavlja razvoj njihovih tehnik, ki se osredotočajo na omrežno strojno opremo, ki pogosto nima nadzora varnosti.

Od njihove prve dokumentirane dejavnosti septembra 2022 je UNC3886 dokazal visoko strokovnost pri ciljanju na robne naprave in virtualizacijske tehnologije, usmerjene v obrambni, tehnološki in telekomunikacijski sektor v ZDA in Aziji.

Zakaj usmerjevalne naprave?

Nasprotniki, ki jih vodi vohunjenje, so se pred kratkim preusmerili k ogrožanju usmerjevalnih naprav. S pridobitvijo nadzora nad ključno infrastrukturo lahko napadalci ohranijo dolgotrajen dostop, obenem pa imajo možnost izvajanja motečih dejavnosti v prihodnosti.

Povezava TinyShell: izbrano orožje

Najnovejša dejavnost, odkrita sredi leta 2024, vključuje vsadke, ki temeljijo na TinyShell, lahkem backdoorju na osnovi C, ki so ga priljubljene kitajske hekerske skupine, kot sta Liminal Panda in Velvet Ant. TinyShell je zaradi svoje odprtokodne narave praktična izbira, saj ponuja enostavno prilagajanje in hkrati zapleta dodeljevanje.

Varnostni raziskovalci so identificirali šest različnih stranskih vrat, ki temeljijo na TinyShell, od katerih ima vsako svojo funkcionalnost:

  • appid (Slabo plagiatiziran demon vsadka) – Omogoča prenos datotek, interaktivno lupino, proxy SOCKS in spremembe konfiguracije C2.
  • do (TooObvious) – Podobno kot appid, vendar z drugačnimi trdo kodiranimi strežniki C2.
  • irad (Internet Remote Access Daemon) – deluje kot pasivna stranska vrata z vohanjem paketov prek paketov ICMP.
  • lmpad (Local Memory Patching Attack Daemon) – uporablja vstavljanje procesa za izogibanje beleženju.
  • jdosd (Junos Denial of Service Daemon) – stranska vrata UDP z zmožnostmi oddaljene lupine.
  • oemd (Obscure Enigmatic Malware Daemon) – pasivna stranska vrata, ki uporabljajo TCP za komunikacijo s strežniki C2.

Obhod varnostnih zaščit Junos OS

Napadalci so razvili metode za izvajanje zlonamerne programske opreme kljub zaščitam Junos OS Verified Exec (veriexec), ki so zasnovane tako, da preprečujejo nepooblaščeno izvajanje kode. S pridobitvijo privilegiranega dostopa prek terminalskega strežnika v zakonite procese vbrizgajo zlonamerno koristno vsebino, s čimer zagotovijo obstojnost in se izognejo zaznavanju.

Več orodij v Attack Arsenalu

Poleg stranskih vrat TinyShell UNC3886 uporablja dodatna orodja:

  • Reptile & Medusa – Rootkiti za prikrito obstojnost.
  • PITHOOK – Uporablja se za ugrabitev avtentikacije SSH in zajemanje poverilnic.
  • GHOSTTOWN – Zasnovan za namene proti forenziki.

Organizacijam, ki uporabljajo naprave Juniper, močno priporočamo, da jih posodobijo na najnovejše različice vdelane programske opreme, da ublažijo te grožnje.

Še en napad, še ena grožnja?

Zanimivo je, da je ločena kampanja, imenovana J-Magic, ciljala na usmerjevalnike Juniper za podjetja, ki uporabljajo različico backdoor, znano kot cd00r. Vendar pa je ta dejavnost pripisana drugi skupini, povezani s Kitajsko, UNC4841, brez znanih povezav s ciljanjem UNC3886 na odslužene usmerjevalnike Juniper.

Izkoriščanje CVE-2025-21590 za vztrajnost

Juniper Networks je potrdil, da so nedavne okužbe izkoristile vsaj eno ranljivost – CVE-2025-21590 (ocena CVSS v4: 6,7). Ta napaka, ki jo najdemo v jedru OS Junos, omogoča napadalcem z visokimi privilegiji, da vbrizgajo poljubno kodo, kar na koncu ogrozi celovitost naprave.

Popravki so bili izdani v različicah Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 in 24.4R1. Organizacije morajo zagotoviti, da izvajajo te posodobljene različice.

UNC3886: Mojstri prikritosti in vztrajnosti

Strokovno znanje in izkušnje UNC3886 na področju notranjih naprednih sistemov je razvidno iz njegove strateške uporabe pasivnih stranskih vrat, poseganja v dnevnike in forenzičnih utaj. Njegov glavni cilj ostaja dolgoročna vztrajnost ob zmanjševanju tveganj pri odkrivanju, kar predstavlja stalen in pomemben izziv kibernetske varnosti.

 

V trendu

Najbolj gledan

Nalaganje...