ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ กลุ่มจารกรรมไซเบอร์ UNC3886

กลุ่มจารกรรมไซเบอร์ UNC3886

โดย Mezo ใน มัลแวร์, ประตูหลัง
แปลเป็น:
ภาษาไทย

หน่วยสืบราชการลับทางไซเบอร์ UNC3886 ซึ่งมีความเชื่อมโยงกับจีน ได้โจมตีเราเตอร์ MX ที่ใกล้จะหมดอายุใช้งานอย่างจริงจัง เพื่อติดตั้งแบ็คดอร์แบบกำหนดเอง แคมเปญนี้เน้นย้ำถึงความสามารถในการแทรกซึมเข้าไปในโครงสร้างพื้นฐานเครือข่ายภายใน โดยใช้แบ็คดอร์ที่มีทั้งความสามารถแบบแอ็คทีฟและพาสซีฟ บางตัวมีสคริปต์ฝังตัวที่ออกแบบมาเพื่อปิดกลไกการบันทึกข้อมูล ทำให้ผู้โจมตีสามารถดำเนินการโดยไม่ถูกตรวจพบ

กลุ่มภัยคุกคามที่กำลังพัฒนา

UNC3886 มีประวัติการใช้ช่องโหว่แบบ zero-day ในอุปกรณ์ Fortinet, Ivanti และ VMware เพื่อเจาะเครือข่ายและสร้างความคงอยู่ระยะยาว ปฏิบัติการล่าสุดนี้ถือเป็นวิวัฒนาการของเทคนิคที่เน้นไปที่ฮาร์ดแวร์เครือข่ายที่มักขาดการตรวจสอบความปลอดภัย

นับตั้งแต่มีการบันทึกกิจกรรมครั้งแรกในเดือนกันยายน 2022 UNC3886 ได้แสดงให้เห็นถึงความสามารถสูงในการกำหนดเป้าหมายอุปกรณ์ edge และเทคโนโลยีเสมือนจริง โดยมุ่งเป้าไปที่ภาคการป้องกันประเทศ เทคโนโลยี และโทรคมนาคมในสหรัฐอเมริกาและเอเชีย

เหตุใดจึงต้องกำหนดเส้นทางอุปกรณ์?

ศัตรูที่ขับเคลื่อนด้วยการจารกรรมได้เปลี่ยนมาโจมตีอุปกรณ์กำหนดเส้นทางแบบเจาะระบบในช่วงไม่นานนี้ โดยการควบคุมโครงสร้างพื้นฐานที่สำคัญจะทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลได้เป็นเวลานานขึ้น ขณะเดียวกันก็มีแนวโน้มที่จะดำเนินกิจกรรมที่ก่อกวนในอนาคต

การเชื่อมต่อ TinyShell: อาวุธแห่งการเลือก

กิจกรรมล่าสุดที่ตรวจพบในช่วงกลางปี 2024 เกี่ยวข้องกับการฝังตัวบน TinyShell ซึ่งเป็นแบ็คดอร์บนพื้นฐาน C น้ำหนักเบาที่กลุ่มแฮ็กเกอร์ชาวจีน เช่น Liminal Panda และ Velvet Ant ชื่นชอบ ลักษณะโอเพนซอร์สของ TinyShell ทำให้เป็นตัวเลือกที่ใช้งานได้จริง โดยให้ความสะดวกในการปรับแต่งในขณะที่การระบุแหล่งที่มามีความซับซ้อน

นักวิจัยด้านความปลอดภัยได้ระบุแบ็คดอร์ที่แตกต่างกัน 6 แห่งบนพื้นฐานของ TinyShell โดยแต่ละแห่งมีฟังก์ชันการทำงานของตัวเอง:

  • appid (โปรแกรม Daemon สำหรับการฝังตัวที่มีการลอกเลียนแบบไม่ดี) – รองรับการถ่ายโอนไฟล์ เชลล์แบบโต้ตอบ พร็อกซี SOCKS และการเปลี่ยนแปลงการกำหนดค่า C2
  • to (TooObvious) – คล้ายกับ appid แต่มีเซิร์ฟเวอร์ C2 แบบฮาร์ดโค้ดที่แตกต่างกัน
  • irad (Internet Remote Access Daemon) ทำหน้าที่เป็นแบ็คดอร์แบบพาสซีฟโดยใช้การดมแพ็คเก็ตผ่านแพ็คเก็ต ICMP
  • lmpad (Local Memory Patching Attack Daemon) – ใช้การฉีดกระบวนการเพื่อหลีกเลี่ยงการบันทึกข้อมูล
  • jdosd (Junos Denial of Service Daemon) – แบ็คดอร์ UDP ที่มีความสามารถของเชลล์ระยะไกล
  • oemd (Obscure Enigmatic Malware Daemon) – แบ็กดอร์แบบพาสซีฟที่ใช้ TCP เพื่อสื่อสารกับเซิร์ฟเวอร์ C2

การหลีกเลี่ยงการป้องกันความปลอดภัยของ Junos OS

ผู้โจมตีได้พัฒนาวิธีการในการดำเนินการมัลแวร์ แม้ว่า Junos OS จะมีการป้องกันด้วย Verified Exec (veriexec) ซึ่งออกแบบมาเพื่อป้องกันการเรียกใช้โค้ดที่ไม่ได้รับอนุญาตก็ตาม โดยการเข้าถึงแบบมีสิทธิพิเศษผ่านเซิร์ฟเวอร์เทอร์มินัล พวกเขาจะฉีดเพย์โหลดที่เป็นอันตรายลงในกระบวนการที่ถูกต้อง ทำให้มั่นใจได้ว่าจะคงอยู่ต่อไปในขณะที่หลีกเลี่ยงการตรวจจับได้

เครื่องมือเพิ่มเติมในคลังอาวุธโจมตี

นอกจาก TinyShell backdoors แล้ว UNC3886 ยังปรับใช้เครื่องมือเพิ่มเติมอีกด้วย:

  • สัตว์เลื้อยคลาน และ เมดูซ่า – รูทคิทสำหรับความคงอยู่อย่างซ่อนเร้น
  • PITHOOK – ใช้เพื่อแย่งชิงการยืนยันตัวตน SSH และดักจับข้อมูลประจำตัว
  • GHOSTTOWN – ออกแบบมาเพื่อวัตถุประสงค์ต่อต้านการตรวจสอบทางนิติวิทยาศาสตร์

ขอแนะนำอย่างยิ่งให้องค์กรที่ใช้เครื่องมือ Juniper ในการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อลดภัยคุกคามเหล่านี้

โจมตีอีกแล้ว ผู้ก่อภัยคุกคามอีกแล้ว?

ที่น่าสนใจคือ มีแคมเปญแยกต่างหากที่มีชื่อว่า J-Magic ซึ่งกำหนดเป้าหมายเราเตอร์ Juniper ระดับองค์กรโดยใช้แบ็คดอร์ที่เรียกว่า cd00r อย่างไรก็ตาม กิจกรรมนี้เกิดจากกลุ่มอื่นที่เชื่อมโยงกับจีนคือ UNC4841 ซึ่งไม่มีความเกี่ยวข้องใดๆ กับการโจมตีเราเตอร์ Juniper ที่ใกล้จะหมดอายุการใช้งานของ UNC3886

การใช้ประโยชน์จาก CVE-2025-21590 สำหรับ Persistence

บริษัท Juniper Networks ยืนยันว่าการติดไวรัสล่าสุดได้ใช้ประโยชน์จากช่องโหว่อย่างน้อยหนึ่งรายการ นั่นคือ CVE-2025-21590 (คะแนน CVSS v4: 6.7) ช่องโหว่นี้ซึ่งพบในเคอร์เนล Junos OS ช่วยให้ผู้โจมตีที่มีสิทธิพิเศษสูงสามารถแทรกโค้ดตามอำเภอใจได้ ซึ่งสุดท้ายแล้วอาจส่งผลกระทบต่อความสมบูรณ์ของอุปกรณ์

มีการเผยแพร่แพตช์ใน Junos OS เวอร์ชัน 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 และ 24.4R1 องค์กรต่างๆ ต้องแน่ใจว่าได้ใช้งานเวอร์ชันอัปเดตเหล่านี้แล้ว

UNC3886: ผู้เชี่ยวชาญด้านการพรางตัวและความพากเพียร

ความเชี่ยวชาญของ UNC3886 ในด้านระบบภายในขั้นสูงนั้นเห็นได้ชัดจากการใช้แบ็คดอร์แบบพาสซีฟ การดัดแปลงบันทึก และการหลีกเลี่ยงการตรวจสอบทางนิติเวชอย่างมีกลยุทธ์ เป้าหมายหลักของบริษัทยังคงเป็นการคงอยู่ในระยะยาวพร้อมทั้งลดความเสี่ยงในการตรวจจับให้เหลือน้อยที่สุด ซึ่งเป็นความท้าทายด้านความปลอดภัยทางไซเบอร์ที่สำคัญและต่อเนื่อง

 

มาแรง

แอพพลิเคชั่น Almoristics

โปรแกรมที่อาจไม่เป็นที่ต้องการ, ทรอยจัน
Almoristics เป็นแอปพลิเคชันที่แอบแฝงซึ่งเชื่อมโยงกับกิจกรรมการขโมยข้อมูลทางอินเทอร์เน็ต นี่ไม่ใช่กระบวนการระบบที่ถูกต้องตามกฎหมาย...

Koaiw App

โปรแกรมที่อาจไม่เป็นที่ต้องการ, แอดแวร์, มัลแวร์
โปรแกรมที่อาจไม่พึงประสงค์ (PUP) อาจดูไม่เป็นอันตรายในตอนแรก แต่บ่อยครั้งที่โปรแกรมเหล่านี้ก่อให้เกิดความเสี่ยงที่ส่งผลต่อประสิทธิภาพ ความปลอดภัย และความเป็นส่วนตัวของอุปกรณ์...

เข้าชมมากที่สุด

'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

'Geek Squad' อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
31,123
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...

ป๊อปอัป "iPhone ของคุณถูกแฮ็ก"

แอดแวร์
26,210
เนื่องจากเทคโนโลยีถูกรวมเข้ากับชีวิตประจำวันของเราอย่างมาก อาชญากรไซเบอร์จึงค้นหาวิธีใหม่ๆ ในการใช้ประโยชน์จากช่องโหว่ด้วยเจตนาร้าย การหลอกลวงที่พบบ่อยอย่างหนึ่งที่ผู้ใช้ iPhone...

มัลแวร์

ฟิชชิ่ง, สแปม
23,936
ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...
กำลังโหลด...