UNC3886 Siber Casusluk Grubu

Çin bağlantılı siber casusluk kuruluşu UNC3886, özel arka kapılar yerleştirmek için kullanım ömrü sona ermiş MX yönlendiricilerini aktif olarak hedef alıyor. Bu kampanya, hem aktif hem de pasif yeteneklere sahip arka kapıları kullanarak dahili ağ altyapısına sızma yeteneklerini vurguluyor. Bazı varyantlar, saldırganların tespit edilmeden çalışmasına olanak tanıyan günlükleme mekanizmalarını kapatmak için tasarlanmış gömülü betikler bile içeriyor.

Gelişen Bir Tehdit Grubu

UNC3886, ağları ihlal etmek ve uzun vadeli kalıcılık sağlamak için Fortinet, Ivanti ve VMware cihazlarındaki sıfır günlük güvenlik açıklarından yararlanma geçmişine sahiptir. Bu son operasyon, genellikle güvenlik izleme özelliğinden yoksun ağ donanımlarına odaklanarak tekniklerinin bir evrimini temsil ediyor.

UNC3886, Eylül 2022'deki ilk belgelenmiş faaliyetinden bu yana, ABD ve Asya'daki savunma, teknoloji ve telekomünikasyon sektörlerini hedef alarak uç cihazları ve sanallaştırma teknolojilerini hedeflemede yüksek yeterlilik göstermiştir.

Neden Yönlendirme Cihazları?

Casusluk odaklı saldırganlar son zamanlarda yönlendirme cihazlarını tehlikeye atmaya yöneldi. Saldırganlar kritik altyapı üzerinde kontrol elde ederek uzun süreli erişimi sürdürürken aynı zamanda gelecekte yıkıcı faaliyetler yürütme potansiyeline sahip olabilir.

TinyShell Bağlantısı: Tercih Edilen Bir Silah

2024 yılının ortalarında tespit edilen son aktivite, Liminal Panda ve Velvet Ant gibi Çinli hack grupları tarafından tercih edilen hafif bir C tabanlı arka kapı olan TinyShell'e dayalı implantları içeriyor. TinyShell'in açık kaynaklı yapısı, atıflamayı karmaşıklaştırırken özelleştirme kolaylığı sunarak onu pratik bir seçim haline getiriyor.

Güvenlik araştırmacıları, her biri kendine özgü işlevlere sahip olan TinyShell tabanlı altı farklı arka kapı tespit etti:

• appid (Kötü Bir Şekilde Çalınmış Bir İmplant Daemon'u) – Dosya transferi, etkileşimli kabuk, SOCKS proxy ve C2 yapılandırma değişiklikleri sağlar.
• (TooObvious) – appid'ye benzer ancak farklı sabit kodlu C2 sunucularına sahiptir.
• irad (İnternet Uzaktan Erişim Şeytanı) – ICMP paketleri aracılığıyla paket dinlemeyi kullanarak pasif bir arka kapı görevi görür.
• lmpad (Yerel Bellek Düzeltme Saldırısı Daemon'u) – Günlüğe kaydetmeyi önlemek için işlem enjeksiyonunu kullanır.
• jdosd (Junos Hizmet Reddi Şeytanı) – Uzak kabuk yeteneklerine sahip bir UDP arka kapısı.
• oemd (Obscure Enigmatic Malware Daemon) – C2 sunucularıyla iletişim kurmak için TCP kullanan pasif bir arka kapı.

Junos İşletim Sistemi Güvenlik Korumalarını Atlatma

Saldırganlar, yetkisiz kod yürütülmesini engellemek için tasarlanmış Junos OS'nin Verified Exec (veriexec) korumalarına rağmen kötü amaçlı yazılımları yürütmek için yöntemler geliştirdiler. Bir terminal sunucusu aracılığıyla ayrıcalıklı erişim elde ederek, meşru süreçlere kötü amaçlı yükler enjekte ederek, algılamayı önlerken kalıcılığı garanti altına alıyorlar.

Saldırı Cephaneliğinde Daha Fazla Araç

TinyShell arka kapılarının yanı sıra, UNC3886 ek araçlar da dağıtır:

• Sürüngen ve Medusa – Gizlice varlığını sürdüren kök kitleri.
• PITHOOK – SSH kimlik doğrulamasını ele geçirmek ve kimlik bilgilerini yakalamak için kullanılır.
• GHOSTTOWN – Adli bilişim karşıtı amaçlar için tasarlanmıştır.

Juniper cihazlarını kullanan kuruluşlara, bu tehditleri azaltmak için cihazlarını en son aygıt yazılımı sürümlerine güncellemeleri önemle tavsiye edilir.

Başka Bir Saldırı, Başka Bir Tehdit Aktörü mü?

İlginçtir ki, J-Magic adlı ayrı bir kampanya, cd00r olarak bilinen bir arka kapı çeşidi kullanarak kurumsal düzeyde Juniper yönlendiricilerini hedef aldı. Ancak, bu etkinlik UNC3886'nın kullanım ömrü dolmuş Juniper yönlendiricilerini hedeflemesiyle bilinen hiçbir bağı olmayan, Çin bağlantılı başka bir grup olan UNC4841'e atfedildi.

Kalıcılık için CVE-2025-21590’ı Kullanma

Juniper Networks, son enfeksiyonların en az bir güvenlik açığını istismar ettiğini doğruladı: CVE-2025-21590 (CVSS v4 puanı: 6.7). Junos OS çekirdeğinde bulunan bu kusur, yüksek ayrıcalıklı saldırganların keyfi kod enjekte etmesine ve sonuç olarak cihaz bütünlüğünü tehlikeye atmasına olanak tanır.

Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 ve 24.4R1 sürümlerinde yamalar yayımlandı. Kuruluşlar bu güncellenmiş sürümleri çalıştırdıklarından emin olmalıdır.

UNC3886: Gizlilik ve Azim Ustaları

UNC3886'nın gelişmiş sistem içlerindeki uzmanlığı, pasif arka kapılar, günlük kurcalama ve adli kaçınmanın stratejik kullanımında açıkça görülmektedir. Birincil hedefi, devam eden ve önemli bir siber güvenlik zorluğu oluşturan tespit risklerini en aza indirirken uzun vadeli kalıcılık olmaya devam etmektedir.