UNC3886 Група кібершпигунства
Пов’язана з Китаєм організація кібершпигунства UNC3886 активно націлювалася на маршрутизатори MX, що вичерпалися, для розгортання спеціальних бекдорів. Ця кампанія підкреслює їх здатність проникати у внутрішню мережеву інфраструктуру, використовуючи бекдори з як активними, так і пасивними можливостями. Деякі варіанти навіть містять вбудовані сценарії, призначені для відключення механізмів журналювання, що дозволяє зловмисникам діяти непоміченими.
Зміст
Група загроз, що розвивається
UNC3886 має історію використання вразливостей нульового дня в пристроях Fortinet, Ivanti та VMware для зламу мереж і встановлення довгострокової стійкості. Ця остання операція являє собою еволюцію їхніх методів, зосереджену на мережевому обладнанні, яке часто не має моніторингу безпеки.
З моменту своєї першої задокументованої діяльності у вересні 2022 року UNC3886 продемонструвала високу майстерність у націленні на крайні пристрої та технології віртуалізації, спрямовані на сектори оборони, технологій і телекомунікацій у США та Азії.
Чому пристрої маршрутизації?
Зловмисники, керовані шпигунством, нещодавно перейшли до компрометації пристроїв маршрутизації. Отримавши контроль над важливою інфраструктурою, зловмисники можуть підтримувати тривалий доступ, а також мати потенціал для проведення руйнівних дій у майбутньому.
Підключення TinyShell: зброя вибору
Остання активність, виявлена в середині 2024 року, стосується імплантатів на основі TinyShell, легкого бекдору на основі C, який віддають перевагу китайським хакерським групам, таким як Liminal Panda та Velvet Ant. Природа TinyShell з відкритим вихідним кодом робить його практичним вибором, пропонуючи легкість налаштування та ускладнюючи атрибуцію.
Дослідники безпеки визначили шість різних бекдорів на основі TinyShell, кожен із яких має власну функціональність:
- appid (погано плагіатизований імплантатний демон) – забезпечує передачу файлів, інтерактивну оболонку, проксі-сервер SOCKS і зміни конфігурації C2.
- to (TooObvious) – Подібно до appid, але з іншими жорстко закодованими серверами C2.
- irad (Демон віддаленого доступу до Інтернету) – діє як пасивний бекдор, використовуючи аналіз пакетів через пакети ICMP.
- lmpad (демон атаки на виправлення локальної пам’яті) – використовує ін’єкцію процесу, щоб уникнути журналювання.
- jdosd (Junos Denial of Service Daemon) – бекдор UDP із можливостями віддаленої оболонки.
- oemd (Obscure Enigmatic Malware Daemon) – пасивний бекдор, який використовує TCP для зв’язку з серверами C2.
Обхід засобів захисту Junos OS
Зловмисники розробили методи запуску зловмисного програмного забезпечення, незважаючи на засоби захисту Junos OS Verified Exec (veriexec), які розроблені для запобігання несанкціонованому виконанню коду. Отримавши привілейований доступ через термінальний сервер, вони впроваджують зловмисне корисне навантаження в законні процеси, забезпечуючи постійність, уникаючи виявлення.
Більше інструментів у арсеналі атаки
Окрім бекдорів TinyShell, UNC3886 розгортає додаткові інструменти:
- Reptile & Medusa – Руткіти для прихованої стійкості.
- PITHOOK – використовується для викрадення автентифікації SSH і захоплення облікових даних.
- GHOSTTOWN – розроблено для цілей антикриміналістики.
Організаціям, які використовують пристрої Juniper, настійно рекомендується оновити їх до останніх версій мікропрограми, щоб пом’якшити ці загрози.
Ще один напад, ще одна загроза?
Цікаво, що окрема кампанія, яка отримала назву J-Magic, була націлена на маршрутизатори Juniper корпоративного рівня з використанням бекдор-варіанту, відомого як cd00r. Однак ця діяльність приписується іншій групі, пов’язаній з Китаєм, UNC4841, яка не має зв’язків із націлюванням UNC3886 на маршрутизатори Juniper, що вийшли з ладу.
Використання CVE-2025-21590 для стійкості
Juniper Networks підтвердила, що останні інфікування використовували принаймні одну вразливість — CVE-2025-21590 (оцінка CVSS v4: 6,7). Цей недолік, виявлений у ядрі ОС Junos, дозволяє зловмисникам із високим рівнем привілеїв впроваджувати довільний код, що остаточно порушує цілісність пристрою.
Патчі були випущені для версій ОС Junos 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 і 24.4R1. Організації повинні переконатися, що вони використовують ці оновлені версії.
UNC3886: Майстри скритності та наполегливості
Досвід UNC3886 у розширених внутрішніх системах очевидний у його стратегічному використанні пасивних бекдорів, фальсифікації журналів та криміналістиці. Його основною метою залишається довгострокова стійкість при мінімізації ризиків виявлення, що створює постійну та значну проблему кібербезпеки.
