UNC3886 网络间谍组织
与中国有关联的网络间谍实体 UNC3886 一直在积极瞄准报废的 MX 路由器,以部署定制后门。此次活动凸显了他们利用具有主动和被动功能的后门渗透内部网络基础设施的能力。一些变体甚至包含旨在关闭日志记录机制的嵌入式脚本,允许攻击者不被发现地进行操作。
目录
不断演变的威胁组织
UNC3886 曾利用 Fortinet、Ivanti 和 VMware 设备中的零日漏洞入侵网络并建立长期持久性。此次行动代表了他们技术的一次进化,重点关注通常缺乏安全监控的网络硬件。
自 2022 年 9 月首次记录活动以来,UNC3886 已表现出针对边缘设备和虚拟化技术的高超能力,目标是美国和亚洲的国防、技术和电信领域。
为何需要路由设备?
从事间谍活动的攻击者最近转向入侵路由设备。通过控制关键基础设施,攻击者可以保持长期访问,同时还可能在未来进行破坏活动。
TinyShell 连接:首选武器
最新活动是在 2024 年中期发现的,涉及基于 TinyShell 的植入程序,TinyShell 是一种轻量级的 C 语言后门,受到 Liminal Panda 和 Velvet Ant 等中国黑客组织的青睐。TinyShell 的开源特性使其成为一种实用的选择,它易于定制,同时使归因变得复杂。
安全研究人员已经发现了六个基于 TinyShell 的不同后门,每个后门都有自己的功能:
- appid(一个抄袭程度很低的植入守护进程) ——提供文件传输、交互式 shell、SOCKS 代理和 C2 配置更改。
- to (TooObvious) – 与 appid 类似,但具有不同的硬编码 C2 服务器。
- irad(Internet 远程访问守护进程) ——通过 ICMP 数据包嗅探,充当被动后门。
- lmpad(本地内存修补攻击守护进程) ——使用进程注入来逃避日志记录。
- jdosd(Junos 拒绝服务守护进程) ——具有远程 shell 功能的 UDP 后门。
- oemd(Obscure Enigmatic Malware Daemon) ——一种使用 TCP 与 C2 服务器通信的被动后门。
绕过 Junos OS 安全保护
尽管 Junos OS 的 Verified Exec (veriexec) 保护旨在防止未经授权的代码执行,但攻击者仍开发出执行恶意软件的方法。通过终端服务器获取特权访问,他们将恶意负载注入合法进程,确保持久性,同时逃避检测。
攻击武器库中的更多工具
除了 TinyShell 后门外,UNC3886 还部署了其他工具:
强烈建议使用瞻博网络设备的组织将其更新到最新的固件版本以减轻这些威胁。
又一次袭击,又一个威胁行为者?
有趣的是,另一项名为 J-Magic 的活动针对企业级 Juniper 路由器,使用名为 cd00r 的后门变体。不过,这项活动归因于另一个与中国有关的组织 UNC4841,与 UNC3886 针对停产 Juniper 路由器的攻击没有任何已知关联。
利用 CVE-2025-21590 实现持久性
Juniper Networks 已确认最近的感染利用了至少一个漏洞 — CVE-2025-21590(CVSS v4 评分:6.7)。此漏洞位于 Junos OS 内核中,允许高权限攻击者注入任意代码,最终损害设备完整性。
Junos OS 版本 21.2R3-S9、21.4R3-S10、22.2R3-S6、22.4R3-S6、23.2R2-S3、23.4R2-S4、24.2R1-S2、24.2R2 和 24.4R1 中已发布补丁。组织必须确保他们正在运行这些更新的版本。
UNC3886:隐身与持久大师
UNC3886 在高级系统内部方面的专业知识体现在其对被动后门、日志篡改和法医逃避的战略性使用上。其主要目标仍然是长期持久性,同时最大限度地降低检测风险,这构成了持续而重大的网络安全挑战。
