Il gruppo Cina-Nexus Cyber Expionage Monitoring come UNC3886 è stato osservato mira ai router MX di fantastic vita da Juniper Networks come parte di una campagna progettata per distribuire backdoor personalizzate, evidenziando la loro capacità di concentrarsi sulle infrastrutture di rete interne.
“I backdoor avevano numerous capacità personalizzate, comprese funzioni backdoor attive e passive, nonché uno script incorporato che disabilita i meccanismi di registrazione sul dispositivo goal”, Mandiant di proprietà di Google ” disse In un rapporto condiviso con le notizie di Hacker.
La società di intelligence delle minacce ha descritto lo sviluppo come un’evoluzione del marchio dell’avversario, che ha storicamente sfruttato le vulnerabilità zero-day a Fortinet, Ivanti e Dispositivi VMware per violare le reti di interesse e stabilire la persistenza per l’accesso remoto.
Documentato per la prima volta nel settembre 2022, l’equipaggio di hacking è valutato come “altamente abile” e in grado di focusing on Dispositivi Edge E Tecnologie di virtualizzazione Con l’obiettivo finale di violare le organizzazioni di difesa, tecnologia e telecomunicazioni situate negli Stati Uniti e in Asia.
Questi attacchi in genere sfruttano il fatto che tali dispositivi perimetrali di rete mancano di soluzioni di monitoraggio e rilevamento della sicurezza, consentendo loro di operare senza ostacoli e senza attirare l’attenzione.
“Il compromesso dei dispositivi di routing è una tendenza recente nelle tattiche degli avversari motivati dallo spionaggio in quanto garantisce la capacità di un accesso a lungo termine a lungo termine all’infrastruttura di routing cruciale, con un potenziale per azioni più dirompenti in futuro”, ha affermato Mandiant.
L’ultima attività, individuata a metà del 2024, prevede l’uso di impianti basati su Tinyshelluna backdoor basata su C che è stata utilizzata da vari gruppi di hacking cinesi come Panda liminale E Velvet Ant in passato.
Mandiant ha affermato di aver identificato sei backdoor distinti a base minuscola, ognuno con una capacità unica –
- APPID, che supporta il caricamento/obtain dei file, la shell interattiva, il proxy di calze e le modifiche alla configurazione (advert es. Server di comando e controllo, numero di porta, interfaccia di rete, ecc.)
- a, che è uguale advert appid ma con un diverso set di server C2 con codice duro
- Irad, una backdoor passiva che funge da pacchetto basato su libpcap per estrarre comandi da eseguire sul dispositivo dai pacchetti ICMP
- LMPAD, un’utilità e un backdoor passivo in grado di lanciare uno script esterno per eseguire l’iniezione di processo in processi legittimi di sistema operativo junos per bloccare la registrazione
- JDOSD, che implementa un backdoor UDP con il trasferimento di file e le funzionalità di shell distant
- OEMD, un backdoor passivo che comunica con il server C2 tramite TCP e supporta i comandi TinyShell customary per caricare/scaricare file ed eseguire un comando shell
È anche notevole prendere provvedimenti per eseguire il malware eggendo il dirigente verificato di Junos OS (Veriexec) protezioni, che impediscono l’esecuzione del codice non attendibile. Ciò si ottiene ottenendo l’accesso privilegiato a un router da un terminale utilizzato per la gestione dei dispositivi di rete utilizzando credenziali legittime.
Le autorizzazioni elevate vengono quindi utilizzate per iniettare i payload dannosi nella memoria di un processo di gatto legittimo, con conseguente esecuzione del backdoor LMPAD mentre Veriexec è abilitato.
“Lo scopo principale di questo malware è di disabilitare tutte le possibili registrazioni prima che l’operatore si collega al router per eseguire attività pratiche e successivamente ripristinare i registri dopo che l’operatore si è disconnesso”, ha osservato Mandiant.
Alcuni degli altri strumenti distribuiti da UNC3886 includono rootkit come Reptile e Medusa; Pithook a Hijack SSH Autentica e cattura le credenziali SSH; e Ghosttown per scopi antimicolici.
Si consiglia alle organizzazioni di aggiornare i loro dispositivi Juniper al ultime immagini Rilasciato da Juniper Networks, che embody mitigazioni e firme aggiornate per lo strumento di rimozione del malware Juniper (Jmrt).
Lo sviluppo arriva poco più di un mese dopo Lumen Black Lotus Labs rivelato Che i router di Juniper Networks di livello aziendale siano diventati l’obiettivo di una backdoor personalizzata come parte di una campagna soprannominata J-Magic che offre una variante di un noto backdoor chiamato CD00R.
“Il malware distribuito sui router OS Junos di Juniper Networks dimostra che l’UNC3886 ha una conoscenza approfondita degli interni del sistema avanzato”, hanno affermato i ricercatori di Mandiant.
“Inoltre, l’UNC3886 continua a dare la priorità alla furtività nelle sue operazioni attraverso l’uso di backdoor passive, insieme a manomissione di artefatti di tronchi e forensi, indicando un focus sulla persistenza a lungo termine, riducendo al minimo il rischio di rilevamento.”
