Ssylka

Как атаки UNC3886 через устаревшие роутеры Juniper меняют кибербезопасность?

В сентябре 2022 года впервые зафиксирована активность кибершпионской группы UNC3886, связанной с Китаем, которая нацелилась на устаревшие MX-роутеры Juniper Networks для установки кастомных бэкдоров и руткитов, что позволяет получить длительный доступ к внутренней сетевой инфраструктуре оборонного, технологического и телекоммуникационного секторов в США и Азии.
Как атаки UNC3886 через устаревшие роутеры Juniper меняют кибербезопасность?
Изображение носит иллюстративный характер

Группа UNC3886 демонстрирует высокий уровень экспертизы, используя уязвимости периферийных устройств и виртуализационных технологий. Ранее злоумышленники применяли нулевые уязвимости в продуктах Fortinet, Ivanti и VMware, но нынешняя кампания ориентирована на пограничные устройства, зачастую лишённые систем мониторинга, что снижает риск обнаружения вмешательства.

Цель атаки заключается в установлении постоянного, высокоуровневого контроля посредством внедрения индивидуальных бэкдоров с активными и пассивными функциями. Внедряемый код содержит встроенный скрипт для отключения ведения логов при подключении оператора, что существенно уменьшает вероятность обнаружения следов преступной деятельности.

Для обхода защитных механизмов Junos OS, таких как Verified Exec, злоумышленники получают привилегированный доступ через терминальный сервер, используя легитимные учётные данные, и внедряют вредоносные нагрузки в память процесса cat, что позволяет временно приостановить запись логов до восстановления нормальной работы системы.

Особое внимание вызывает использование шести TinyShell-базированных бэкдоров, ранее применявшихся группами Liminal Panda и Velvet Ant. Среди них бэкдор appid обеспечивает функции загрузки и передачи файлов, интерактивного shell-доступа, работы SOCKS-прокси и изменения конфигурации; аналогичный по функциям backdoor to использует иной набор жестко заданных серверов управления; пассивный irad служит для перехвата команд посредством ICMP-пакетов; lmpad запускает внешние скрипты для процессной инъекции с целью приостановки логирования; jdosd реализует UDP-метод для передачи файлов и удалённого доступа; и oemd, работающий через TCP, поддерживает стандартные команды TinyShell для загрузки и исполнения команд.

Последняя активность, зафиксированная в середине 2024 года, свидетельствует о постоянном развитии тактики атаки, направленной на эксплуатацию незащищённых пограничных устройств для скрытой установки длительного контроля, что характерно для современных операций кибершпионажа.

Комплексная эксплуатация угроз подкрепляется применением руткитов Reptile и Medusa, инструментом для кражи SSH-учётных данных PITHOOK и утилитой GHOSTTOWN, предназначенной для устранения следов вмешательства. Такое сочетание технологий позволяет злоумышленникам обеспечить высокую степень устойчивости атаки и затруднить проведение форензики.

Аналитические отчёты специалистов Mandiant, принадлежащей Google, подчеркивают эволюцию торговых методов противника, включающих как активное, так и пассивное вмешательство в логирование. Параллельно аналитическая группа Black Lotus Labs от Lumen недавно выявила кампанию «J-magic», нацеленную на корпоративные роутеры Juniper с использованием варианта кастомного бэкдора cd00r.

Рекомендуется установить обновленные образы прошивок устройств Juniper Networks, содержащие исправления уязвимостей и обновленные сигнатуры для инструмента Juniper Malware Removal Tool (JMRT), что позволит снизить риск компрометации сетевой инфраструктуры и повысить уровень защиты корпоративных систем.


Новое на сайте

15500Культура безнаказанности: скандал в BBC и проблема "неприкасаемых" звезд 15499Древний сосуд в форме собачьей головы: история апулийского ритона 15498Беспрецедентная распродажа процессоров Intel на Amazon: игровые CPU по рекордно низким... 15497Экранизация "соляной тропы": как новый фильм изменит туристический ландшафт... 15496Прорыв в астрономии: обнаружено гигантское облако звездообразования "эос"... 15495Почему пользователи WooCommerce стали мишенью для изощренной фишинговой атаки с... 15494Какой динозавр был самым быстрым в истории земли? 15493Как насекомые и свекольный сок могут изменить будущее пищевой индустрии? 15492Как «битва визажистов» возвращается на экраны, а «громовержцы» штурмуют кинотеатры? 15491Космическое возрождение: туманность Орла в новом свете к 35-летию телескопа хаббл 15490Как наука объясняет объективность цвета в мире субъективного восприятия? 15489Тайны погребенного города: Помпеи под пеплом Везувия 15488Возрождение легенды: культовая концертная площадка 53 Degrees возвращается в престон 15487Почему невозможно отрыгнуть в космосе и что происходит при попытке? 15486Как главный музыкальный фестиваль Великобритании распродал последние билеты за 20 минут?