Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware UNC3886 Cyber Espionage Group

UNC3886 Cyber Espionage Group

Nga MezoMalware, Dyer të pasme
Përkthe në:
Shqip

Subjekti i spiunazhit kibernetik i lidhur me Kinën UNC3886 ka synuar në mënyrë aktive ruterat MX të fundit të jetës për të vendosur dyer të pasme me porosi. Kjo fushatë nënvizon aftësinë e tyre për të depërtuar në infrastrukturën e rrjeteve të brendshme, duke përdorur dyer të pasme me aftësi aktive dhe pasive. Disa variante madje përmbajnë skripta të ngulitur të krijuar për të fikur mekanizmat e regjistrimit, duke lejuar sulmuesit të veprojnë të pazbuluar.

Një grup kërcënimesh në zhvillim

UNC3886 ka një histori të shfrytëzimit të dobësive të ditës zero në pajisjet Fortinet, Ivanti dhe VMware për të shkelur rrjetet dhe për të vendosur qëndrueshmëri afatgjatë. Ky operacion i fundit përfaqëson një evolucion të teknikave të tyre, duke u fokusuar në harduerin e rrjetit që shpesh i mungon monitorimi i sigurisë.

Që nga aktiviteti i tyre i parë i dokumentuar në shtator 2022, UNC3886 ka demonstruar aftësi të larta në shënjestrimin e pajisjeve të fundit dhe teknologjive të virtualizimit, duke synuar sektorët e mbrojtjes, teknologjisë dhe telekomunikacionit në SHBA dhe Azi.

Pse pajisjet e rrugëtimit?

Kundërshtarët e drejtuar nga spiunazhi kohët e fundit janë zhvendosur drejt kompromentimit të pajisjeve të rrugës. Duke fituar kontrollin mbi infrastrukturën thelbësore, sulmuesit mund të mbajnë akses të zgjatur duke pasur gjithashtu potencialin për të kryer aktivitete përçarëse në të ardhmen.

Lidhja TinyShell: Një armë e zgjedhjes

Aktiviteti i fundit, i zbuluar në mesin e vitit 2024, përfshin implante të bazuara në TinyShell, një derë e pasme e lehtë me bazë C, e favorizuar nga grupet kineze të hakerëve si Liminal Panda dhe Velvet Ant. Natyra me burim të hapur të TinyShell e bën atë një zgjedhje praktike, duke ofruar lehtësi personalizimi ndërsa ndërlikon atribuimin.

Studiuesit e sigurisë kanë identifikuar gjashtë dyer të pasme të dallueshme bazuar në TinyShell, secila me funksionalitetin e vet:

  • appid (Një Daemon i Implantit me Plagjiaturë të Dobët) – Ofron transferimin e skedarëve, guaskën interaktive, përfaqësuesin e SOCKS dhe ndryshimet e konfigurimit C2.
  • në (TooObvious) – Ngjashëm me aplikacionin, por me serverë të ndryshëm C2 të koduar.
  • irad (Internet Remote Access Daemon) – Vepron si një derë e pasme pasive duke përdorur nuhatjen e paketave nëpërmjet paketave ICMP.
  • lmpad (Local Memory Patching Attack Daemon) – Përdor injektimin e procesit për të shmangur prerjet.
  • jdosd (Junos Denial of Service Daemon) – Një derë e pasme UDP me aftësi të guaskës në distancë.
  • oemd (Obscure Enigmatic Malware Daemon) – Një derë e pasme pasive që përdor TCP për të komunikuar me serverët C2.

Duke anashkaluar Mbrojtjet e Sigurisë Junos OS

Sulmuesit kanë zhvilluar metoda për të ekzekutuar malware pavarësisht mbrojtjeve të Verified Exec (veriexec) të Junos OS, të cilat janë krijuar për të parandaluar ekzekutimin e paautorizuar të kodit. Duke marrë akses të privilegjuar nëpërmjet një serveri terminal, ata injektojnë ngarkesa me qëllim të keq në procese legjitime, duke siguruar qëndrueshmëri duke shmangur zbulimin.

Më shumë mjete në Arsenalin e Sulmit

Përveç dyerve të pasme të TinyShell, UNC3886 vendos mjete shtesë:

  • Reptile & Medusa – Rootkits për qëndrueshmëri të fshehtë.
  • PITHOOK – Përdoret për të rrëmbyer vërtetimin SSH dhe për të kapur kredencialet.
  • GHOSTOWN - Projektuar për qëllime anti-forenzike.

Organizatat që përdorin pajisjet Juniper këshillohen fuqimisht t'i përditësojnë ato në versionet më të fundit të firmuerit për të zbutur këto kërcënime.

Një tjetër sulm, një aktor tjetër kërcënim?

Është interesante se një fushatë e veçantë, e quajtur J-Magic, ka shënjestruar ruterat e klasës së ndërmarrjeve Juniper duke përdorur një variant të pasme të njohur si cd00r. Megjithatë, ky aktivitet i atribuohet një grupi të ndryshëm të lidhur me Kinën, UNC4841, pa lidhje të njohura me shënjestrimin e ruterëve Juniper nga fundi i jetës së UNC3886.

Duke shfrytëzuar CVE-2025-21590 për qëndrueshmëri

Juniper Networks ka konfirmuar se infeksionet e fundit kanë shfrytëzuar të paktën një dobësi—CVE-2025-21590 (rezultati CVSS v4: 6.7). Kjo e metë, e gjetur në bërthamën e Junos OS, lejon sulmuesit me privilegj të lartë të injektojnë kode arbitrare, duke kompromentuar përfundimisht integritetin e pajisjes.

Patch-et janë lëshuar në versionet e Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R, 24.2R1-S2, 21.2R dhe 24.2R3-S6. Organizatat duhet të sigurohen që po ekzekutojnë këto versione të përditësuara.

UNC3886: Mjeshtrat e Vjedhjes dhe Këmbënguljes

Ekspertiza e UNC3886 në brendësitë e avancuara të sistemit është e dukshme në përdorimin e tij strategjik të dyerve të pasme pasive, manipulimit të regjistrave dhe evazionit mjeko-ligjor. Qëllimi i tij kryesor mbetet këmbëngulja afatgjatë duke minimizuar rreziqet e zbulimit, gjë që paraqet një sfidë të vazhdueshme dhe të rëndësishme të sigurisë kibernetike.

 

Në trend

Më e shikuara

Po ngarkohet...