Попуст за више лиценци
Тхреат Датабасе Малваре УНЦ3886 Група за сајбер шпијунажу

УНЦ3886 Група за сајбер шпијунажу

До Mezo. у Малваре, Бацкдоорс
Преведи на:
Српски

Ентитет за сајбер шпијунажу УНЦ3886 повезан са Кином активно је циљао МКС рутере на крају свог века да би применио прилагођена позадинска врата. Ова кампања наглашава њихову способност да се инфилтрирају у интерну мрежну инфраструктуру, користећи бацкдоор са активним и пасивним могућностима. Неке варијанте чак садрже и уграђене скрипте дизајниране да искључе механизме евидентирања, омогућавајући нападачима да раде неоткривено.

Група претњи у развоју

УНЦ3886 има историју коришћења рањивости нултог дана у Фортинет, Иванти и ВМваре уређајима за пробијање мрежа и успостављање дугорочне постојаности. Ова најновија операција представља еволуцију њихових техника, фокусирајући се на мрежни хардвер којем често недостаје безбедносни надзор.

Од своје прве документоване активности у септембру 2022., УНЦ3886 је показао високу стручност у циљању ивичних уређаја и технологија виртуелизације, усмерених на секторе одбране, технологије и телекомуникација у САД и Азији.

Зашто уређаји за рутирање?

Противници вођени шпијунажом су се недавно окренули ка компромитујућим уређајима за рутирање. Добијањем контроле над кључном инфраструктуром, нападачи могу да задрже продужени приступ, а истовремено имају потенцијал да спроводе ометајуће активности у будућности.

ТиниСхелл веза: оружје избора

Најновија активност, откривена средином 2024. године, укључује имплантате засноване на ТиниСхелл-у, лаганом бацкдоор-у заснованом на Ц-у који фаворизују кинеске хакерске групе као што су Лиминал Панда и Велвет Ант. Природа отвореног кода ТиниСхелл-а чини га практичним избором, нудећи лакоћу прилагођавања док компликује приписивање.

Истраживачи безбедности су идентификовали шест различитих бацкдоор-а заснованих на ТиниСхелл-у, од којих сваки има своју функционалност:

  • аппид (Поорли Плагиаризед Имплант Даемон) – Обезбеђује пренос датотека, интерактивну шкољку, СОЦКС проки и промене конфигурације Ц2.
  • до (ТооОбвиоус) – Слично као аппид, али са различитим чврсто кодираним Ц2 серверима.
  • ирад (Интернет Ремоте Аццесс Даемон) – Делује као пасивни бацкдоор користећи њушкање пакета преко ИЦМП пакета.
  • лмпад (Лоцал Мемори Патцхинг Аттацк Даемон) – Користи убризгавање процеса да избегне евидентирање.
  • јдосд (Јунос Дениал оф Сервице Даемон) – УДП бацкдоор са могућностима удаљене љуске.
  • оемд (Обсцуре Енигматиц Малваре Даемон) – пасивни бацкдоор који користи ТЦП за комуникацију са Ц2 серверима.

Заобилазећи Јунос ОС безбедносну заштиту

Нападачи су развили методе за извршавање малвера упркос заштити Јунос ОС Верифиед Екец (вериекец), која је дизајнирана да спречи неовлашћено извршавање кода. Добијањем привилегованог приступа преко терминалског сервера, они убризгавају злонамерни садржај у легитимне процесе, обезбеђујући упорност док избегавају откривање.

Више алата у Аттацк Арсеналу

Поред ТиниСхелл бацкдоор-а, УНЦ3886 примењује додатне алате:

  • Рептиле & Медуса – Руткитови за прикривену упорност.
  • ПИТХООК – Користи се за отмицу ССХ аутентификације и хватање акредитива.
  • ГХОСТТОВН – Дизајниран за анти-форензичке сврхе.

Организацијама које користе Јунипер уређаје се препоручује да их ажурирају на најновије верзије фирмвера како би ублажиле ове претње.

Још један напад, још једна претња?

Занимљиво је да је засебна кампања, названа Ј-Магиц, циљала Јунипер рутере за предузећа користећи бацкдоор варијанту познату као цд00р. Међутим, ова активност се приписује другој групи која је повезана са Кином, УНЦ4841, без познатих веза са УНЦ3886 циљањем Јунипер рутера на крају радног века.

Искоришћавање ЦВЕ-2025-21590 за упорност

Јунипер Нетворкс је потврдио да су недавне инфекције искористиле најмање једну рањивост — ЦВЕ-2025-21590 (ЦВСС в4 резултат: 6,7). Ова мана, пронађена у језгру Јунос ОС-а, омогућава нападачима са високим привилегијама да убаце произвољан код, на крају угрожавајући интегритет уређаја.

Закрпе су објављене у верзијама Јунос ОС-а 21.2Р3-С9, 21.4Р3-С10, 22.2Р3-С6, 22.4Р3-С6, 23.2Р2-С3, 23.4Р2-С4, 24.2Р1-С2, 24.2Р2 и 24.2Р2 Организације морају осигурати да користе ове ажуриране верзије.

УНЦ3886: Мајстори скривености и упорности

Стручност УНЦ3886 у напредним унутрашњим системима је очигледна у његовој стратешкој употреби пасивних позадинских врата, неовлашћеног приступа дневнику и форензичке евазије. Његов примарни циљ остаје дугорочна упорност уз минимизирање ризика од откривања, што представља стални и значајан изазов сајбер безбедности.

 

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
23,936
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...