UNC3886 網路間諜組織
與中國有關的網路間諜實體 UNC3886 一直積極瞄準報廢 MX 路由器來部署自訂後門。這次活動凸顯了他們利用具有主動和被動功能的後門滲透內部網路基礎設施的能力。一些變體甚至包含旨在關閉日誌記錄機制的嵌入式腳本,允許攻擊者不被發現地進行操作。
目錄
不斷演變的威脅組織
UNC3886 曾利用 Fortinet、Ivanti 和 VMware 設備中的零日漏洞來破壞網路並建立長期持久性。此次最新行動代表了其技術的進步,重點關注通常缺乏安全監控的網路硬體。
自 2022 年 9 月首次記錄活動以來,UNC3886 已展現出針對邊緣設備和虛擬化技術的高超能力,目標是美國和亞洲的國防、技術和電信領域。
為何需要路由設備?
受間諜活動驅動的對手最近已將攻擊目標轉向了路由設備。透過控制關鍵基礎設施,攻擊者可以保持長期訪問,同時也可能在未來進行破壞性活動。
TinyShell 連線:首選武器
最新的活動是在 2024 年中期發現的,涉及基於 TinyShell 的植入程序,TinyShell 是一種基於 C 的輕量級後門,受到 Liminal Panda 和 Velvet Ant 等中國黑客組織的青睞。 TinyShell 的開源特性使其成為實用的選擇,它易於定制,同時使歸因複雜化。
安全研究人員已經發現了六個基於 TinyShell 的不同後門,每個後門都有自己的功能:
- appid(一個抄襲程度很低的植入守護程序) ——提供檔案傳輸、互動式 shell、SOCKS 代理程式和 C2 配置變更。
- to (TooObvious) – 與 appid 類似,但具有不同的硬編碼 C2 伺服器。
- irad(Internet 遠端存取守護程序) ——透過 ICMP 封包嗅探,作為被動後門。
- lmpad(本地記憶體修補攻擊守護程式) ——使用進程注入來逃避日誌記錄。
- jdosd(Junos 拒絕服務守護程序) ——具有遠端 shell 功能的 UDP 後門。
- oemd(Obscure Enigmatic Malware Daemon) ——一種使用 TCP 與 C2 伺服器通訊的被動後門。
繞過 Junos OS 安全保護
儘管 Junos OS 具有 Verified Exec (veriexec) 保護功能(旨在防止未經授權的程式碼執行),但攻擊者仍然開發了執行惡意軟體的方法。透過終端伺服器取得特權訪問,他們將惡意負載注入合法進程,確保持久性並逃避檢測。
攻擊武器庫中的更多工具
除了 TinyShell 後門外,UNC3886 還部署了其他工具:
強烈建議使用瞻博網路設備的組織將其更新到最新的韌體版本以減輕這些威脅。
又一次襲擊,又一個威脅行為者?
有趣的是,另一個名為 J-Magic 的活動針對的是企業級 Juniper 路由器,使用了名為 cd00r 的後門變體。然而,這項活動被歸因於另一個與中國有關的組織 UNC4841,與 UNC3886 針對停產 Juniper 路由器的攻擊活動沒有已知關聯。
利用 CVE-2025-21590 實現持久性
瞻博網路已確認最近的感染利用了至少一個漏洞 - CVE-2025-21590(CVSS v4 評分:6.7)。該漏洞存在於 Junos OS 內核,允許高權限攻擊者註入任意程式碼,最終損害裝置完整性。
Junos OS 版本 21.2R3-S9、21.4R3-S10、22.2R3-S6、22.4R3-S6、23.2R2-S3、23.4R2-S4、24.2R1-S2、24.2R2 和 24.4R1 中已發布補丁。組織必須確保他們正在運行這些更新的版本。
UNC3886:隱身與持久大師
UNC3886 在高階系統內部的專業知識在其對被動後門、日誌篡改和法醫逃避的策略性使用中得到了充分體現。其主要目標仍然是長期持久性,同時最大限度地降低偵測風險,這對網路安全構成了持續且重大的挑戰。
