В середине 2024 года компания Mandiant опубликовала тревожные результаты расследования, касающегося вмешательства шпионской группы China-nexus, известной как UNC3886. Специалисты раскрыли факт проникновения в маршрутизаторы Juniper Networks, работающие на операционной системе Junos OS, где были внедрены несколько пользовательских бэкдоров, в основном базирующихся на TINYSHELL.
Методы внедрения и характеристики вредоносного ПО
Обнаруженные бэкдоры обладали расширенными возможностями и включали как активные, так и пассивные функции. Они были разработаны с целью отключения механизмов ведения журнала на зараженных устройствах, что значительно снижает вероятность обнаружения.
По данным Mandiant, UNC3886 нацеливалась на маршрутизаторы Juniper MX, которые, как правило, имеют истекший срок службы и недостаточный контроль безопасности. Это обстоятельство позволяет злоумышленникам поддерживать долгосрочный доступ без срабатывания аварийных сигналов обнаружения. Вредоносная программа демонстрирует сложные методы манипуляции внутренними компонентами сетевых устройств.
Ключевые аспекты атаки UNC3886
- Использование законных учетных данных, полученных на предыдущих этапах атак;
- Внедрение вредоносного ПО в память доверенных процессов для снижения вероятности его обнаружения;
- Доступ к файловой системе маршрутизатора с последующим использованием полезных программ, таких как
«lmpad», для управления протоколированием; - Шесть разных образцов TINYSHELL, каждый из которых имеет настраиваемые функции для
работы в Junos OS; - Имитация законных системных двоичных файлов и функции передачи файлов и удаленной оболочки.
Обнаруженные уязвимости и угрозы
Вредоносные бэкдоры использовали различные коммуникационные протоколы и методы шифрования, включая как TCP, так и UDP-трафик, что обеспечивает эффективную фильтрацию данных и обратное подключение к серверам управления (C2). Mandiant подчеркивает, что такие методы указывают на постоянную угрозу, представляющую собой не только UNC3886, но и аналогичные группы, которые используют сетевую инфраструктуру и технологии виртуализации для получения несанкционированного доступа и утечки конфиденциальной информации.
Рекомендации для организаций
Для противодействия угрозам, исходящим от таких групп, как UNC3886, исследования рекомендуют организациям:
- Обновить свои уязвимые устройства;
- Выполнить проверку целостности;
- Внедрить методы безопасной аутентификации;
- Принять комплексные стратегии анализа угроз.
Этот подход необходим для выявления распространенных угроз и защиты сетевой инфраструктуры от изощренной тактики кибершпионажа.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибератака UNC3886: Зловещие бэкдоры в маршрутизаторах Juniper".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.