В сентябре 2022 года впервые зафиксирована активность кибершпионской группы UNC3886, связанной с Китаем, которая нацелилась на устаревшие MX-роутеры Juniper Networks для установки кастомных бэкдоров и руткитов, что позволяет получить длительный доступ к внутренней сетевой инфраструктуре оборонного, технологического и телекоммуникационного секторов в США и Азии.
Группа UNC3886 демонстрирует высокий уровень экспертизы, используя уязвимости периферийных устройств и виртуализационных технологий. Ранее злоумышленники применяли нулевые уязвимости в продуктах Fortinet, Ivanti и VMware, но нынешняя кампания ориентирована на пограничные устройства, зачастую лишённые систем мониторинга, что снижает риск обнаружения вмешательства.
Цель атаки заключается в установлении постоянного, высокоуровневого контроля посредством внедрения индивидуальных бэкдоров с активными и пассивными функциями. Внедряемый код содержит встроенный скрипт для отключения ведения логов при подключении оператора, что существенно уменьшает вероятность обнаружения следов преступной деятельности.
Для обхода защитных механизмов Junos OS, таких как Verified Exec, злоумышленники получают привилегированный доступ через терминальный сервер, используя легитимные учётные данные, и внедряют вредоносные нагрузки в память процесса cat, что позволяет временно приостановить запись логов до восстановления нормальной работы системы.
Особое внимание вызывает использование шести TinyShell-базированных бэкдоров, ранее применявшихся группами Liminal Panda и Velvet Ant. Среди них бэкдор appid обеспечивает функции загрузки и передачи файлов, интерактивного shell-доступа, работы SOCKS-прокси и изменения конфигурации; аналогичный по функциям backdoor to использует иной набор жестко заданных серверов управления; пассивный irad служит для перехвата команд посредством ICMP-пакетов; lmpad запускает внешние скрипты для процессной инъекции с целью приостановки логирования; jdosd реализует UDP-метод для передачи файлов и удалённого доступа; и oemd, работающий через TCP, поддерживает стандартные команды TinyShell для загрузки и исполнения команд.
Последняя активность, зафиксированная в середине 2024 года, свидетельствует о постоянном развитии тактики атаки, направленной на эксплуатацию незащищённых пограничных устройств для скрытой установки длительного контроля, что характерно для современных операций кибершпионажа.
Комплексная эксплуатация угроз подкрепляется применением руткитов Reptile и Medusa, инструментом для кражи SSH-учётных данных PITHOOK и утилитой GHOSTTOWN, предназначенной для устранения следов вмешательства. Такое сочетание технологий позволяет злоумышленникам обеспечить высокую степень устойчивости атаки и затруднить проведение форензики.
Аналитические отчёты специалистов Mandiant, принадлежащей Google, подчеркивают эволюцию торговых методов противника, включающих как активное, так и пассивное вмешательство в логирование. Параллельно аналитическая группа Black Lotus Labs от Lumen недавно выявила кампанию «J-magic», нацеленную на корпоративные роутеры Juniper с использованием варианта кастомного бэкдора cd00r.
Рекомендуется установить обновленные образы прошивок устройств Juniper Networks, содержащие исправления уязвимостей и обновленные сигнатуры для инструмента Juniper Malware Removal Tool (JMRT), что позволит снизить риск компрометации сетевой инфраструктуры и повысить уровень защиты корпоративных систем.
Изображение носит иллюстративный характер
Группа UNC3886 демонстрирует высокий уровень экспертизы, используя уязвимости периферийных устройств и виртуализационных технологий. Ранее злоумышленники применяли нулевые уязвимости в продуктах Fortinet, Ivanti и VMware, но нынешняя кампания ориентирована на пограничные устройства, зачастую лишённые систем мониторинга, что снижает риск обнаружения вмешательства.
Цель атаки заключается в установлении постоянного, высокоуровневого контроля посредством внедрения индивидуальных бэкдоров с активными и пассивными функциями. Внедряемый код содержит встроенный скрипт для отключения ведения логов при подключении оператора, что существенно уменьшает вероятность обнаружения следов преступной деятельности.
Для обхода защитных механизмов Junos OS, таких как Verified Exec, злоумышленники получают привилегированный доступ через терминальный сервер, используя легитимные учётные данные, и внедряют вредоносные нагрузки в память процесса cat, что позволяет временно приостановить запись логов до восстановления нормальной работы системы.
Особое внимание вызывает использование шести TinyShell-базированных бэкдоров, ранее применявшихся группами Liminal Panda и Velvet Ant. Среди них бэкдор appid обеспечивает функции загрузки и передачи файлов, интерактивного shell-доступа, работы SOCKS-прокси и изменения конфигурации; аналогичный по функциям backdoor to использует иной набор жестко заданных серверов управления; пассивный irad служит для перехвата команд посредством ICMP-пакетов; lmpad запускает внешние скрипты для процессной инъекции с целью приостановки логирования; jdosd реализует UDP-метод для передачи файлов и удалённого доступа; и oemd, работающий через TCP, поддерживает стандартные команды TinyShell для загрузки и исполнения команд.
Последняя активность, зафиксированная в середине 2024 года, свидетельствует о постоянном развитии тактики атаки, направленной на эксплуатацию незащищённых пограничных устройств для скрытой установки длительного контроля, что характерно для современных операций кибершпионажа.
Комплексная эксплуатация угроз подкрепляется применением руткитов Reptile и Medusa, инструментом для кражи SSH-учётных данных PITHOOK и утилитой GHOSTTOWN, предназначенной для устранения следов вмешательства. Такое сочетание технологий позволяет злоумышленникам обеспечить высокую степень устойчивости атаки и затруднить проведение форензики.
Аналитические отчёты специалистов Mandiant, принадлежащей Google, подчеркивают эволюцию торговых методов противника, включающих как активное, так и пассивное вмешательство в логирование. Параллельно аналитическая группа Black Lotus Labs от Lumen недавно выявила кампанию «J-magic», нацеленную на корпоративные роутеры Juniper с использованием варианта кастомного бэкдора cd00r.
Рекомендуется установить обновленные образы прошивок устройств Juniper Networks, содержащие исправления уязвимостей и обновленные сигнатуры для инструмента Juniper Malware Removal Tool (JMRT), что позволит снизить риск компрометации сетевой инфраструктуры и повысить уровень защиты корпоративных систем.
