UNC3886 சைபர் உளவு குழு

சீனாவுடன் இணைக்கப்பட்ட சைபர் உளவு நிறுவனம் UNC3886, தனிப்பயன் பின்கதவுகளைப் பயன்படுத்த, வாழ்நாள் முடிவு MX ரவுட்டர்களை தீவிரமாக குறிவைத்து வருகிறது. இந்த பிரச்சாரம், செயலில் மற்றும் செயலற்ற திறன்களைக் கொண்ட பின்கதவுகளைப் பயன்படுத்தி, உள் நெட்வொர்க்கிங் உள்கட்டமைப்பில் ஊடுருவும் அவர்களின் திறனை அடிக்கோடிட்டுக் காட்டுகிறது. சில வகைகளில், பதிவு செய்யும் வழிமுறைகளை முடக்க வடிவமைக்கப்பட்ட உட்பொதிக்கப்பட்ட ஸ்கிரிப்ட்கள் கூட உள்ளன, இதனால் தாக்குபவர்கள் கண்டறியப்படாமல் செயல்பட முடியும்.

வளர்ந்து வரும் அச்சுறுத்தல் குழு

ஃபோர்டினெட், இவாண்டி மற்றும் விஎம்வேர் சாதனங்களில் பூஜ்ஜிய-நாள் பாதிப்புகளைப் பயன்படுத்தி நெட்வொர்க்குகளை உடைத்து நீண்டகால நிலைத்தன்மையை ஏற்படுத்திய வரலாற்றை UNC3886 கொண்டுள்ளது. இந்த சமீபத்திய செயல்பாடு அவர்களின் நுட்பங்களின் பரிணாம வளர்ச்சியைக் குறிக்கிறது, பெரும்பாலும் பாதுகாப்பு கண்காணிப்பு இல்லாத நெட்வொர்க்கிங் வன்பொருளில் கவனம் செலுத்துகிறது.

செப்டம்பர் 2022 இல் அவர்களின் முதல் ஆவணப்படுத்தப்பட்ட செயல்பாட்டிலிருந்து, UNC3886 அமெரிக்கா மற்றும் ஆசியாவில் பாதுகாப்பு, தொழில்நுட்பம் மற்றும் தொலைத்தொடர்பு துறைகளை இலக்காகக் கொண்டு, எட்ஜ் சாதனங்கள் மற்றும் மெய்நிகராக்க தொழில்நுட்பங்களை குறிவைப்பதில் உயர் தேர்ச்சியை நிரூபித்துள்ளது.

ஏன் ரூட்டிங் சாதனங்கள்?

உளவுத்துறையால் இயக்கப்படும் எதிரிகள் சமீபத்தில் ரூட்டிங் சாதனங்களை சமரசம் செய்வதை நோக்கி நகர்ந்துள்ளனர். முக்கியமான உள்கட்டமைப்பின் மீது கட்டுப்பாட்டைப் பெறுவதன் மூலம், தாக்குபவர்கள் நீண்டகால அணுகலைப் பராமரிக்க முடியும், அதே நேரத்தில் எதிர்காலத்தில் சீர்குலைக்கும் செயல்களை நடத்தும் ஆற்றலையும் பெறுவார்கள்.

டைனிஷெல் இணைப்பு: தேர்ந்தெடுக்கும் ஒரு ஆயுதம்

2024 ஆம் ஆண்டின் நடுப்பகுதியில் கண்டறியப்பட்ட சமீபத்திய செயல்பாடு, லிமினல் பாண்டா மற்றும் வெல்வெட் ஆண்ட் போன்ற சீன ஹேக்கிங் குழுக்களால் விரும்பப்படும் இலகுரக சி-அடிப்படையிலான பின்புறக் கதவு டைனிஷெல்லை அடிப்படையாகக் கொண்ட உள்வைப்புகளை உள்ளடக்கியது. டைனிஷெல்லின் திறந்த மூல இயல்பு அதை ஒரு நடைமுறை தேர்வாக ஆக்குகிறது, பண்புக்கூறுகளை சிக்கலாக்கும் அதே வேளையில் தனிப்பயனாக்கத்தை எளிதாக்குகிறது.

TinyShell ஐ அடிப்படையாகக் கொண்ட ஆறு தனித்துவமான பின்கதவுகளை பாதுகாப்பு ஆராய்ச்சியாளர்கள் அடையாளம் கண்டுள்ளனர், ஒவ்வொன்றும் அதன் சொந்த செயல்பாடுகளைக் கொண்டுள்ளன:

• appid (மோசமாக திருடப்பட்ட இம்ப்லாண்ட் டீமான்) - கோப்பு பரிமாற்றம், ஊடாடும் ஷெல், SOCKS ப்ராக்ஸி மற்றும் C2 உள்ளமைவு மாற்றங்களை வழங்குகிறது.
• to (TooObvious) – appid ஐப் போன்றது ஆனால் வெவ்வேறு கடினக் குறியீடு செய்யப்பட்ட C2 சேவையகங்களுடன்.
• irad (இணைய தொலைநிலை அணுகல் டீமான்) - ICMP பாக்கெட்டுகள் வழியாக பாக்கெட் ஸ்னிஃபிங்கைப் பயன்படுத்தி ஒரு செயலற்ற பின்புறக் கதவாகச் செயல்படுகிறது.
• lmpad (லோக்கல் மெமரி பேட்சிங் அட்டாக் டீமான்) - பதிவைத் தவிர்க்க செயல்முறை ஊசியைப் பயன்படுத்துகிறது.
• jdosd (ஜூனோஸ் சேவை மறுப்பு டீமான்) - ரிமோட் ஷெல் திறன்களைக் கொண்ட ஒரு UDP பின்புறக் கதவு.
• oemd (தெளிவற்ற புதிரான தீம்பொருள் டீமான்) - C2 சேவையகங்களுடன் தொடர்பு கொள்ள TCP ஐப் பயன்படுத்தும் ஒரு செயலற்ற பின்புறக் கதவு.

ஜூனோஸ் ஓஎஸ் பாதுகாப்பு பாதுகாப்புகளைத் தவிர்ப்பது

அங்கீகரிக்கப்படாத குறியீடு செயல்படுத்தலைத் தடுக்க வடிவமைக்கப்பட்ட ஜூனோஸ் ஓஎஸ்ஸின் சரிபார்க்கப்பட்ட எக்ஸிக் (வெரிஎக்ஸிக்) பாதுகாப்புகள் இருந்தபோதிலும், தீம்பொருளை இயக்குவதற்கான முறைகளை தாக்குபவர்கள் உருவாக்கியுள்ளனர். ஒரு டெர்மினல் சர்வர் வழியாக சலுகை பெற்ற அணுகலைப் பெறுவதன் மூலம், அவர்கள் தீங்கிழைக்கும் பேலோடுகளை முறையான செயல்முறைகளில் செலுத்துகிறார்கள், கண்டறிதலைத் தவிர்க்கும் அதே வேளையில் நிலைத்தன்மையை உறுதி செய்கிறார்கள்.

தாக்குதல் ஆயுதக் களஞ்சியத்தில் கூடுதல் கருவிகள்

டைனிஷெல் பின்புற கதவுகளைத் தவிர, UNC3886 கூடுதல் கருவிகளைப் பயன்படுத்துகிறது:

• ஊர்வன & மெடுசா - திருட்டுத்தனமான நிலைத்தன்மைக்கான ரூட்கிட்கள்.
• பித்தூக் - SSH அங்கீகாரத்தை கடத்தவும் சான்றுகளைப் பிடிக்கவும் பயன்படுகிறது.
• கோஸ்ட்டவுன் - தடயவியல் எதிர்ப்பு நோக்கங்களுக்காக வடிவமைக்கப்பட்டது.

இந்த அச்சுறுத்தல்களைத் தணிக்க, ஜூனிபர் சாதனங்களைப் பயன்படுத்தும் நிறுவனங்கள், அவற்றை சமீபத்திய ஃபார்ம்வேர் பதிப்புகளுக்குப் புதுப்பிக்குமாறு கடுமையாக அறிவுறுத்தப்படுகின்றன.

இன்னொரு தாக்குதல், இன்னொரு மிரட்டல் நடிகரா?

சுவாரஸ்யமாக, J-Magic என அழைக்கப்படும் ஒரு தனி பிரச்சாரம், cd00r எனப்படும் பின்புற மாறுபாட்டைப் பயன்படுத்தி நிறுவன-தர ஜூனிபர் ரவுட்டர்களை குறிவைத்துள்ளது. இருப்பினும், இந்த செயல்பாடு சீனாவுடன் இணைக்கப்பட்ட வேறு குழுவான UNC4841 உடன் தொடர்புடையது, UNC3886 இன் ஆயுட்காலம் முடிந்த ஜூனிபர் ரவுட்டர்களை இலக்காகக் கொண்டதுடன் எந்த தொடர்பும் இல்லை.

விடாமுயற்சிக்காக CVE-2025-21590 ஐப் பயன்படுத்துதல்

ஜூனிபர் நெட்வொர்க்ஸ் சமீபத்திய தொற்றுகள் குறைந்தது ஒரு பாதிப்பைப் பயன்படுத்திக் கொண்டதாக உறுதிப்படுத்தியுள்ளது - CVE-2025-21590 (CVSS v4 மதிப்பெண்: 6.7). ஜூனோஸ் OS கர்னலில் காணப்படும் இந்தக் குறைபாடு, உயர் சலுகை பெற்ற தாக்குபவர்கள் தன்னிச்சையான குறியீட்டை செலுத்த அனுமதிக்கிறது, இறுதியில் சாதனத்தின் ஒருமைப்பாட்டை சமரசம் செய்கிறது.

ஜூனோஸ் OS பதிப்புகள் 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2, மற்றும் 24.4R1 ஆகியவற்றில் இணைப்புகள் வெளியிடப்பட்டுள்ளன. நிறுவனங்கள் இந்தப் புதுப்பிக்கப்பட்ட பதிப்புகளை இயக்குவதை உறுதி செய்ய வேண்டும்.

UNC3886: திருட்டுத்தனம் மற்றும் விடாமுயற்சியின் முதுநிலை

மேம்பட்ட அமைப்பு உள் விவகாரங்களில் UNC3886 இன் நிபுணத்துவம், செயலற்ற பின்கதவுகள், பதிவு சேதப்படுத்துதல் மற்றும் தடயவியல் ஏய்ப்பு ஆகியவற்றின் மூலோபாய பயன்பாட்டில் தெளிவாகத் தெரிகிறது. அதன் முதன்மை குறிக்கோள் நீண்டகால நிலைத்தன்மையாகவே உள்ளது, அதே நேரத்தில் கண்டறிதல் அபாயங்களைக் குறைக்கிறது, இது தொடர்ச்சியான மற்றும் குறிப்பிடத்தக்க சைபர் பாதுகாப்பு சவாலை முன்வைக்கிறது.