Rabattoffert för flera licenser
Hotdatabas Skadlig programvara UNC3886 Cyberspionagegrupp

UNC3886 Cyberspionagegrupp

Med Mezo år Skadlig programvara, Bakdörrar
Översätt till:
Svenska

Den Kina-kopplade cyberspionageenheten UNC3886 har aktivt riktat in sig på uttjänta MX-routrar för att distribuera anpassade bakdörrar. Den här kampanjen understryker deras förmåga att infiltrera intern nätverksinfrastruktur genom att använda bakdörrar med både aktiva och passiva funktioner. Vissa varianter innehåller till och med inbäddade skript utformade för att stänga av loggningsmekanismer, vilket gör att angripare kan arbeta oupptäckt.

En hotgrupp under utveckling

UNC3886 har en historia av att utnyttja nolldagarssårbarheter i Fortinet-, Ivanti- och VMware-enheter för att bryta nätverk och etablera långsiktig persistens. Denna senaste operation representerar en utveckling av deras tekniker, med fokus på nätverkshårdvara som ofta saknar säkerhetsövervakning.

Sedan deras första dokumenterade aktivitet i september 2022, har UNC3886 visat hög kompetens i att rikta in sig på avancerade enheter och virtualiseringstekniker, inriktade på försvars-, teknik- och telekommunikationssektorer i USA och Asien.

Varför dirigera enheter?

Spionagedrivna motståndare har nyligen gått över till att kompromissa med routingenheter. Genom att få kontroll över avgörande infrastruktur kan angripare behålla långvarig åtkomst samtidigt som de har potential att utföra störande aktiviteter i framtiden.

The TinyShell Connection: A Weapon of Choice

Den senaste aktiviteten, upptäckt i mitten av 2024, involverar implantat baserade på TinyShell, en lätt C-baserad bakdörr som gynnas av kinesiska hackergrupper som Liminal Panda och Velvet Ant. TinyShells natur med öppen källkod gör det till ett praktiskt val som erbjuder enkel anpassning samtidigt som tillskrivningen kompliceras.

Säkerhetsforskare har identifierat sex distinkta bakdörrar baserade på TinyShell, var och en med sin egen funktionalitet:

  • appid (A Poorly Plagiarized Implant Daemon) – Ger filöverföring, interaktivt skal, SOCKS-proxy och C2-konfigurationsändringar.
  • till (TooObvious) – Liknar appid men med olika hårdkodade C2-servrar.
  • irad (Internet Remote Access Daemon) – Fungerar som en passiv bakdörr med hjälp av paketsniffning via ICMP-paket.
  • lmpad (Local Memory Patching Attack Daemon) – Använder processinjektion för att undvika loggning.
  • jdosd (Junos Denial of Service Daemon) – En UDP-bakdörr med fjärrskalfunktioner.
  • oemd (Obscure Enigmatic Malware Daemon) – En passiv bakdörr som använder TCP för att kommunicera med C2-servrar.

Går förbi Junos OS-säkerhetsskydd

Angriparna har utvecklat metoder för att exekvera skadlig programvara trots Junos OS:s Verified Exec (veriexec)-skydd, som är utformade för att förhindra exekvering av obehörig kod. Genom att få privilegierad åtkomst via en terminalserver injicerar de skadliga nyttolaster i legitima processer, vilket säkerställer uthållighet samtidigt som de undviker upptäckt.

Fler verktyg i Attack Arsenal

Förutom TinyShell-bakdörrar, distribuerar UNC3886 ytterligare verktyg:

  • Reptile & Medusa – Rootkits för smyg uthållighet.
  • PITHOOK – Används för att kapa SSH-autentisering och fånga inloggningsuppgifter.
  • GHOSTTOWN – Designad för kriminaltekniska ändamål.

Organisationer som använder Juniper-enheter rekommenderas starkt att uppdatera dem till de senaste firmwareversionerna för att mildra dessa hot.

Another Attack, Another Threat Skådespelare?

Intressant nog har en separat kampanj, kallad J-Magic, riktat in sig på Juniper-routrar av företagsklass med en bakdörrsvariant som kallas cd00r. Denna aktivitet tillskrivs dock en annan Kina-länkad grupp, UNC4841, utan några kända band till UNC3886:s inriktning på uttjänta Juniper-routrar.

Utnyttjar CVE-2025-21590 för uthållighet

Juniper Networks har bekräftat att de senaste infektionerna utnyttjade minst en sårbarhet – CVE-2025-21590 (CVSS v4-poäng: 6,7). Detta fel, som finns i Junos OS-kärnan, tillåter högprivilegierade angripare att injicera godtycklig kod, vilket i slutändan äventyrar enhetens integritet.

Patchar har släppts i Junos OS-versionerna 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R och 24.2R. Organisationer måste se till att de kör dessa uppdaterade versioner.

UNC3886: Masters of Stealth and Persistence

UNC3886:s expertis inom avancerade systeminterna delar är uppenbar i dess strategiska användning av passiva bakdörrar, timmermanipulering och kriminalteknisk flykt. Dess primära mål förblir långsiktig uthållighet samtidigt som det minimerar upptäcktsrisker, vilket utgör en pågående och betydande utmaning för cybersäkerhet.

 

Trendigt

Mest sedda

Läser in...