De China-Nexus Cyber Espionage Group die wordt gevolgd als UNC3886 is waargenomen gericht op MX-routers aan het levenseinde van Juniper Networks als onderdeel van een campagne die is ontworpen om aangepaste backdoors te implementeren, wat hun vermogen benadrukt om zich te concentreren op interne netwerkinfrastructuur.
“De backdoors hadden verschillende aangepaste mogelijkheden, waaronder actieve en passieve achterdeurfuncties, evenals een ingebed script dat houtkapmechanismen op het doelapparaat uitschakelt,” zei Google-eigendom Mandiant in een rapport gedeeld met het Hacker News.
Het bedreigingsinlichtingenbedrijf beschreef de ontwikkeling als een evolutie van het handel van de tegenstander, dat historisch zero-day kwetsbaarheden in Fortinet-, Ivanti- en VMware-apparaten heeft benut om netwerken van interessante netwerken te breken en persistentie te vestigen voor externe toegang.
Voor het eerst gedocumenteerd in september 2022, wordt de hackingploeg beoordeeld als “zeer bedreven” en in staat om randapparaten en virtualisatietechnologieën te richten met het uiteindelijke doel om verdediging, technologie en telecommunicatieorganisaties in de Verenigde Staten en Azië te overtreden.
Deze aanvallen profiteren doorgaans van het feit dat dergelijke netwerkperimeterapparaten geen beveiligingsmonitoring- en detectie -oplossingen missen, waardoor ze onbelemmerd kunnen werken en zonder de aandacht te trekken.
“Het compromis van routeringsapparaten is een recente trend in de tactiek van spionage-gemotiveerde tegenstanders, omdat het de mogelijkheid verleent voor een langdurige toegang op hoog niveau tot de cruciale routeringsinfrastructuur, met een potentieel voor meer verstorende acties in de toekomst,” zei Mandiant.
De nieuwste activiteit, gespot medio 2024, omvat het gebruik van implantaten die zijn gebaseerd op Tinyshell, een C-gebaseerde achterdeur die in het verleden door verschillende Chinese hackgroepen zoals liminale panda en fluwelen mier is gebruikt.
Mandiant zei dat het zes verschillende backdoors op basis van Tinyshell identificeerde, die elk een unieke mogelijkheid hadden –
- AppID, die bestandsupload/download, interactieve shell, socks-proxy- en configuratieveranderingen ondersteunt (bijv. Commando-en-controleserver, poortnummer, netwerkinterface, enz.)
- tot, die hetzelfde is als appid, maar met een andere set hard gecodeerde C2-servers
- IRAD, een passieve achterdeur die fungeert als een libpcap-gebaseerde pakket sniffer om commando’s te extraheren die op het apparaat worden uitgevoerd vanuit ICMP-pakketten
- LMPAD, een hulpprogramma en een passieve achterdeur die een extern script kan lanceren om procesinjectie uit te voeren in legitieme Junos OS -processen om logboekregistratie te blokkeren
- JDOSD, die een UDP -achterdeur implementeert met bestandsoverdracht en externe shell -mogelijkheden
- OEMD, een passieve achterdeur die communiceert met de C2 -server via TCP en ondersteunt standaard TinyShell -opdrachten om bestanden te uploaden/downloaden en een shell -opdracht uit te voeren
Het is ook opmerkelijk om stappen te ondernemen om de malware uit te voeren door de geverifieerde exec (Veriexec) -beschermingen van Junos OS te omzeilen, die voorkomen dat niet -vertrouwde code wordt uitgevoerd. Dit wordt bereikt door bevoorrechte toegang tot een router te verkrijgen van een terminalserver die wordt gebruikt voor het beheren van netwerkapparaten met behulp van legitieme referenties.
De verhoogde machtigingen worden vervolgens gebruikt om de kwaadaardige ladingen in het geheugen van een legitiem CAT -proces te injecteren, wat resulteert in de uitvoering van de LMPAD -achterdeur terwijl Veriexec is ingeschakeld.
“Het hoofddoel van deze malware is om alle mogelijke logging uit te schakelen voordat de operator verbinding maakt met de router om praktische activiteiten uit te voeren en vervolgens de logboeken te herstellen nadat de operator de verbinding heeft gemaakt,” merkte Mandiant op.
Sommige van de andere tools geïmplementeerd door UNC3886 omvatten rootkits zoals reptiel en medusa; Pithook om SSH -authenticaties te kapen en SSH -referenties vast te leggen; en Ghosttown voor anti-forensische doeleinden.
Organisaties worden aanbevolen om hun Juniper -apparaten te upgraden naar de nieuwste afbeeldingen die zijn uitgebracht door Juniper Networks, die mitigaties en bijgewerkte handtekeningen voor de Juniper Malware Removal Tool (JMRT) omvat.
De ontwikkeling komt iets meer dan een maand nadat Lumen Black Lotus Labs onthulde dat enterprise-grade Juniper Networks-routers het doelwit zijn geworden van een aangepaste achterdeur als onderdeel van een campagne genaamd J-Magic die een variant van een bekende achterdeur met de naam CD00R levert.
“De malware die wordt ingezet in de Junos OS-routers van Juniper Networks, toont aan dat UNC3886 diepgaande kennis heeft van geavanceerde systeeminterneuzen,” zeiden Mandiant onderzoekers.
“Bovendien blijft UNC3886 prioriteit geven aan stealth in zijn activiteiten door het gebruik van passieve achterdeuren, samen met het knoeien met log- en forensisch artefact, wat een focus op langdurige persistentie aangeeft, terwijl het risico op detectie wordt geminimaliseerd.”
