Multi-License Discount Quote
Banta sa Database Malware UNC3886 Cyber Espionage Group

UNC3886 Cyber Espionage Group

Sa pamamagitan ng Mezo sa Malware, Mga backdoor
Isalin To:
Wikang Filipino

Ang China-linked cyber espionage entity UNC3886 ay aktibong nagta-target ng mga end-of-life MX router upang mag-deploy ng mga custom na backdoor. Binibigyang-diin ng kampanyang ito ang kanilang kakayahang makalusot sa panloob na imprastraktura ng networking, gamit ang mga backdoor na may parehong aktibo at passive na kakayahan. Ang ilang mga variant ay naglalaman pa ng mga naka-embed na script na idinisenyo upang i-off ang mga mekanismo ng pag-log, na nagpapahintulot sa mga umaatake na gumana nang hindi natukoy.

Isang Umuunlad na Grupo ng Banta

Ang UNC3886 ay may kasaysayan ng paggamit ng mga zero-day na kahinaan sa Fortinet, Ivanti, at VMware na mga device upang masira ang mga network at magtatag ng pangmatagalang pagtitiyaga. Ang pinakabagong operasyon na ito ay kumakatawan sa isang ebolusyon ng kanilang mga diskarte, na tumutuon sa networking hardware na kadalasang walang pagsubaybay sa seguridad.

Mula noong una nilang dokumentadong aktibidad noong Setyembre 2022, ang UNC3886 ay nagpakita ng mataas na kahusayan sa pag-target sa mga edge na device at virtualization na teknolohiya, na naglalayon sa mga sektor ng depensa, teknolohiya, at telekomunikasyon sa US at Asia.

Bakit Nagruruta ng Mga Device?

Ang mga kalaban na hinimok ng espiya ay lumipat kamakailan patungo sa pagkompromiso ng mga routing device. Sa pamamagitan ng pagkakaroon ng kontrol sa mahahalagang imprastraktura, maaaring mapanatili ng mga umaatake ang matagal na pag-access habang may potensyal din na magsagawa ng mga nakakagambalang aktibidad sa hinaharap.

Ang TinyShell Connection: Isang Sandata na Mapipili

Ang pinakabagong aktibidad, na nakita noong kalagitnaan ng 2024, ay nagsasangkot ng mga implant batay sa TinyShell, isang magaan na C-based na backdoor na pinapaboran ng mga Chinese hacking group gaya ng Liminal Panda at Velvet Ant. Ang likas na open-source ng TinyShell ay ginagawa itong isang praktikal na pagpipilian, na nag-aalok ng kadalian ng pag-customize habang kumplikado ang pagpapatungkol.

Natukoy ng mga mananaliksik sa seguridad ang anim na natatanging backdoors batay sa TinyShell, bawat isa ay may sariling functionality:

  • appid (A Poorly Plagiarized Implant Daemon) – Nagbibigay ng paglilipat ng file, interactive na shell, SOCKS proxy, at mga pagbabago sa configuration ng C2.
  • sa (TooObvious) – Katulad ng appid ngunit may iba't ibang hardcoded na C2 server.
  • irad (Internet Remote Access Daemon) – Nagsisilbing passive backdoor gamit ang packet sniffing sa pamamagitan ng ICMP packets.
  • lmpad (Local Memory Patching Attack Daemon) – Gumagamit ng process injection para maiwasan ang pag-log.
  • jdosd (Junos Denial of Service Daemon) – Isang backdoor ng UDP na may mga remote na kakayahan sa shell.
  • oemd (Obscure Enigmatic Malware Daemon) – Isang passive backdoor gamit ang TCP para makipag-ugnayan sa mga C2 server.

Pag-bypass sa Junos OS Security Protections

Ang mga umaatake ay nakabuo ng mga paraan upang magsagawa ng malware sa kabila ng mga proteksyon ng Verified Exec (veriexec) ng Junos OS, na idinisenyo upang maiwasan ang hindi awtorisadong pagpapatupad ng code. Sa pamamagitan ng pagkuha ng privileged access sa pamamagitan ng isang terminal server, nag-iiniksyon sila ng mga nakakahamak na payload sa mga lehitimong proseso, tinitiyak ang pagtitiyaga habang umiiwas sa pagtuklas.

Higit pang Mga Tool sa Attack Arsenal

Bukod sa TinyShell backdoors, nag-deploy ang UNC3886 ng mga karagdagang tool:

  • Reptile at Medusa - Mga Rootkit para sa palihim na pagtitiyaga.
  • PITHOOK – Ginagamit upang i-hijack ang pagpapatotoo ng SSH at pagkuha ng mga kredensyal.
  • GHOSTTOWN – Idinisenyo para sa mga layuning anti-forensics.

Ang mga organisasyong gumagamit ng Juniper device ay mahigpit na pinapayuhan na i-update ang mga ito sa pinakabagong mga bersyon ng firmware upang mabawasan ang mga banta na ito.

Isa pang Pag-atake, Isa pang Banta na Artista?

Kapansin-pansin, ang isang hiwalay na kampanya, na tinawag na J-Magic, ay nag-target ng mga enterprise-grade Juniper router gamit ang isang backdoor na variant na kilala bilang cd00r. Gayunpaman, ang aktibidad na ito ay nauugnay sa ibang grupong naka-link sa China, ang UNC4841, na walang alam na kaugnayan sa pag-target ng UNC3886 sa mga end-of-life na Juniper router.

Pinagsasamantalahan ang CVE-2025-21590 para sa Pagtitiyaga

Kinumpirma ng Juniper Networks na ang mga kamakailang impeksyon ay nagsamantala ng hindi bababa sa isang kahinaan—CVE-2025-21590 (CVSS v4 score: 6.7). Ang kapintasan na ito, na natagpuan sa Junos OS kernel, ay nagbibigay-daan sa mga high-privileged attackers na mag-inject ng arbitrary code, na sa huli ay nakompromiso ang integridad ng device.

Ang mga patch ay inilabas sa mga bersyon ng Junos OS na 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2, at 24.2R2. Dapat tiyakin ng mga organisasyon na pinapatakbo nila ang mga na-update na bersyong ito.

UNC3886: Masters of Stealth and Persistence

Ang kadalubhasaan ng UNC3886 sa mga advanced na system internals ay makikita sa estratehikong paggamit nito ng passive backdoors, log tampering, at forensic evasion. Ang pangunahing layunin nito ay nananatiling pangmatagalang pagtitiyaga habang pinapaliit ang mga panganib sa pagtuklas, na nagdudulot ng patuloy at makabuluhang hamon sa cybersecurity.

 

Trending

Pinaka Nanood

Naglo-load...