UNC3886 సైబర్ గూఢచర్య సమూహం

చైనాతో అనుసంధానించబడిన సైబర్ గూఢచర్య సంస్థ UNC3886 కస్టమ్ బ్యాక్‌డోర్‌లను అమలు చేయడానికి జీవితాంతం పనిచేసే MX రౌటర్‌లను చురుకుగా లక్ష్యంగా చేసుకుంటోంది. ఈ ప్రచారం అంతర్గత నెట్‌వర్కింగ్ మౌలిక సదుపాయాలలోకి చొరబడగల వారి సామర్థ్యాన్ని నొక్కి చెబుతుంది, యాక్టివ్ మరియు పాసివ్ సామర్థ్యాలతో బ్యాక్‌డోర్‌లను ఉపయోగిస్తుంది. కొన్ని వేరియంట్‌లలో లాగింగ్ మెకానిజమ్‌లను ఆఫ్ చేయడానికి రూపొందించబడిన ఎంబెడెడ్ స్క్రిప్ట్‌లు కూడా ఉన్నాయి, దాడి చేసేవారు గుర్తించబడకుండా పనిచేయడానికి వీలు కల్పిస్తుంది.

అభివృద్ధి చెందుతున్న ముప్పు సమూహం

UNC3886 ఫోర్టినెట్, ఇవాంటి మరియు VMware పరికరాల్లో జీరో-డే దుర్బలత్వాలను ఉపయోగించి నెట్‌వర్క్‌లను ఉల్లంఘించి దీర్ఘకాలిక నిలకడను నెలకొల్పిన చరిత్రను కలిగి ఉంది. ఈ తాజా ఆపరేషన్ వారి పద్ధతుల పరిణామాన్ని సూచిస్తుంది, తరచుగా భద్రతా పర్యవేక్షణ లేని నెట్‌వర్కింగ్ హార్డ్‌వేర్‌పై దృష్టి పెడుతుంది.

సెప్టెంబర్ 2022లో వారి మొట్టమొదటి డాక్యుమెంట్ కార్యాచరణ నుండి, UNC3886 US మరియు ఆసియాలోని రక్షణ, సాంకేతికత మరియు టెలికమ్యూనికేషన్ రంగాలను లక్ష్యంగా చేసుకుని ఎడ్జ్ పరికరాలు మరియు వర్చువలైజేషన్ టెక్నాలజీలను లక్ష్యంగా చేసుకోవడంలో అధిక నైపుణ్యాన్ని ప్రదర్శించింది.

రూటింగ్ పరికరాలు ఎందుకు?

గూఢచర్యంతో నడిచే విరోధులు ఇటీవల రూటింగ్ పరికరాలను రాజీ చేయడం వైపు మొగ్గు చూపుతున్నారు. కీలకమైన మౌలిక సదుపాయాలపై నియంత్రణ సాధించడం ద్వారా, దాడి చేసేవారు దీర్ఘకాలిక ప్రాప్యతను కొనసాగించవచ్చు మరియు భవిష్యత్తులో విధ్వంసక కార్యకలాపాలను నిర్వహించే సామర్థ్యాన్ని కూడా కలిగి ఉంటారు.

టైనీషెల్ కనెక్షన్: ఎంపిక చేసుకునే ఆయుధం

2024 మధ్యలో కనుగొనబడిన తాజా కార్యాచరణలో లిమినల్ పాండా మరియు వెల్వెట్ యాంట్ వంటి చైనీస్ హ్యాకింగ్ గ్రూపులు ఇష్టపడే తేలికైన సి-ఆధారిత బ్యాక్‌డోర్ అయిన టైనీషెల్ ఆధారంగా ఇంప్లాంట్లు ఉన్నాయి. టైనీషెల్ యొక్క ఓపెన్-సోర్స్ స్వభావం దీనిని ఆచరణాత్మక ఎంపికగా చేస్తుంది, లక్షణాన్ని క్లిష్టతరం చేస్తూ అనుకూలీకరణ సౌలభ్యాన్ని అందిస్తుంది.

భద్రతా పరిశోధకులు TinyShell ఆధారంగా ఆరు విభిన్న బ్యాక్‌డోర్‌లను గుర్తించారు, ప్రతి దాని స్వంత కార్యాచరణతో:

• appid (పేలవంగా ప్లాగియరైజ్ చేయబడిన ఇంప్లాంట్ డెమోన్) – ఫైల్ బదిలీ, ఇంటరాక్టివ్ షెల్, SOCKS ప్రాక్సీ మరియు C2 కాన్ఫిగరేషన్ మార్పులను అందిస్తుంది.
• to (చాలా స్పష్టంగా) – appid లాగానే ఉంటుంది కానీ విభిన్న హార్డ్‌కోడ్ చేయబడిన C2 సర్వర్‌లతో ఉంటుంది.
• irad (ఇంటర్నెట్ రిమోట్ యాక్సెస్ డెమోన్) – ICMP ప్యాకెట్ల ద్వారా ప్యాకెట్ స్నిఫింగ్ ఉపయోగించి నిష్క్రియాత్మక బ్యాక్‌డోర్‌గా పనిచేస్తుంది.
• lmpad (లోకల్ మెమరీ ప్యాచింగ్ అటాక్ డెమోన్) – లాగింగ్‌ను తప్పించుకోవడానికి ప్రాసెస్ ఇంజెక్షన్‌ను ఉపయోగిస్తుంది.
• jdosd (జూనోస్ సర్వీస్ డెనియల్ డెమోన్) – రిమోట్ షెల్ సామర్థ్యాలతో కూడిన UDP బ్యాక్‌డోర్.
• oemd (అస్పష్టమైన ఎనిగ్మాటిక్ మాల్వేర్ డెమోన్) – C2 సర్వర్‌లతో కమ్యూనికేట్ చేయడానికి TCPని ఉపయోగించే నిష్క్రియాత్మక బ్యాక్‌డోర్.

జూనోస్ OS భద్రతా రక్షణలను దాటవేయడం

అనధికార కోడ్ అమలును నిరోధించడానికి రూపొందించబడిన Junos OS యొక్క ధృవీకరించబడిన Exec (veriexec) రక్షణలు ఉన్నప్పటికీ, దాడి చేసేవారు మాల్వేర్‌ను అమలు చేయడానికి పద్ధతులను అభివృద్ధి చేశారు. టెర్మినల్ సర్వర్ ద్వారా ప్రివిలేజ్డ్ యాక్సెస్‌ను పొందడం ద్వారా, వారు హానికరమైన పేలోడ్‌లను చట్టబద్ధమైన ప్రక్రియలలోకి ఇంజెక్ట్ చేస్తారు, గుర్తింపును తప్పించుకుంటూ నిలకడను నిర్ధారిస్తారు.

దాడి ఆయుధశాలలో మరిన్ని ఉపకరణాలు

టైనీషెల్ బ్యాక్‌డోర్లతో పాటు, UNC3886 అదనపు సాధనాలను అమలు చేస్తుంది:

• సరీసృపాలు & మెడుసా – దొంగతనంగా నిలకడగా ఉండటానికి రూట్‌కిట్‌లు.
• పిథూక్ - SSH ప్రామాణీకరణను హైజాక్ చేయడానికి మరియు ఆధారాలను సంగ్రహించడానికి ఉపయోగించబడుతుంది.
• ఘోస్ట్‌టౌన్ – యాంటీ-ఫోరెన్సిక్స్ ప్రయోజనాల కోసం రూపొందించబడింది.

ఈ ముప్పులను తగ్గించడానికి జునిపర్ పరికరాలను ఉపయోగించే సంస్థలు వాటిని తాజా ఫర్మ్‌వేర్ వెర్షన్‌లకు అప్‌డేట్ చేయాలని గట్టిగా సలహా ఇస్తున్నాము.

మరో దాడి, మరో బెదిరింపు నటుడు?

ఆసక్తికరంగా, J-Magic అని పిలువబడే ఒక ప్రత్యేక ప్రచారం, cd00r అని పిలువబడే బ్యాక్‌డోర్ వేరియంట్‌ను ఉపయోగించి ఎంటర్‌ప్రైజ్-గ్రేడ్ జునిపర్ రౌటర్‌లను లక్ష్యంగా చేసుకుంది. అయితే, ఈ కార్యాచరణ వేరే చైనా-లింక్డ్ గ్రూప్, UNC4841కి ఆపాదించబడింది, UNC3886 జీవితాంతం జునిపర్ రౌటర్‌లను లక్ష్యంగా చేసుకోవడంతో దీనికి ఎటువంటి సంబంధం లేదు.

పట్టుదల కోసం CVE-2025-21590ని ఉపయోగించడం

ఇటీవలి ఇన్ఫెక్షన్లు కనీసం ఒక దుర్బలత్వాన్ని ఉపయోగించుకున్నాయని జునిపర్ నెట్‌వర్క్స్ నిర్ధారించింది—CVE-2025-21590 (CVSS v4 స్కోరు: 6.7). జూనోస్ OS కెర్నల్‌లో కనిపించే ఈ లోపం, అధిక-ప్రత్యేక దాడి చేసేవారిని ఏకపక్ష కోడ్‌ను ఇంజెక్ట్ చేయడానికి అనుమతిస్తుంది, చివరికి పరికర సమగ్రతను రాజీ చేస్తుంది.

జూనోస్ OS వెర్షన్లు 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2, మరియు 24.4R1 లలో ప్యాచ్‌లు విడుదల చేయబడ్డాయి. సంస్థలు ఈ నవీకరించబడిన వెర్షన్‌లను అమలు చేస్తున్నాయని నిర్ధారించుకోవాలి.

UNC3886: స్టీల్త్ మరియు పెర్సిస్టెన్స్ యొక్క మాస్టర్స్

అధునాతన సిస్టమ్ ఇంటర్నల్స్‌లో UNC3886 యొక్క నైపుణ్యం దాని నిష్క్రియాత్మక బ్యాక్‌డోర్లు, లాగ్ ట్యాంపరింగ్ మరియు ఫోరెన్సిక్ ఎగవేత యొక్క వ్యూహాత్మక ఉపయోగంలో స్పష్టంగా కనిపిస్తుంది. దీని ప్రాథమిక లక్ష్యం దీర్ఘకాలిక పట్టుదలగా ఉంటుంది, అదే సమయంలో గుర్తింపు ప్రమాదాలను తగ్గిస్తుంది, ఇది కొనసాగుతున్న మరియు ముఖ్యమైన సైబర్ భద్రతా సవాలును కలిగిస్తుంది.