СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13.03.2025
#Dev#ИБ#Инфра

Кибератака UNC3886: Зловещие бэкдоры в маршрутизаторах Juniper

Кибератака UNC3886: Зловещие бэкдоры в маршрутизаторах Juniper

Источник: cloud.google.com

В середине 2024 года компания Mandiant опубликовала тревожные результаты расследования, касающегося вмешательства шпионской группы China-nexus, известной как UNC3886. Специалисты раскрыли факт проникновения в маршрутизаторы Juniper Networks, работающие на операционной системе Junos OS, где были внедрены несколько пользовательских бэкдоров, в основном базирующихся на TINYSHELL.

Методы внедрения и характеристики вредоносного ПО

Обнаруженные бэкдоры обладали расширенными возможностями и включали как активные, так и пассивные функции. Они были разработаны с целью отключения механизмов ведения журнала на зараженных устройствах, что значительно снижает вероятность обнаружения.

По данным Mandiant, UNC3886 нацеливалась на маршрутизаторы Juniper MX, которые, как правило, имеют истекший срок службы и недостаточный контроль безопасности. Это обстоятельство позволяет злоумышленникам поддерживать долгосрочный доступ без срабатывания аварийных сигналов обнаружения. Вредоносная программа демонстрирует сложные методы манипуляции внутренними компонентами сетевых устройств.

Ключевые аспекты атаки UNC3886

  • Использование законных учетных данных, полученных на предыдущих этапах атак;
  • Внедрение вредоносного ПО в память доверенных процессов для снижения вероятности его обнаружения;
  • Доступ к файловой системе маршрутизатора с последующим использованием полезных программ, таких как
    «lmpad», для управления протоколированием;
  • Шесть разных образцов TINYSHELL, каждый из которых имеет настраиваемые функции для
    работы в Junos OS;
  • Имитация законных системных двоичных файлов и функции передачи файлов и удаленной оболочки.

Обнаруженные уязвимости и угрозы

Вредоносные бэкдоры использовали различные коммуникационные протоколы и методы шифрования, включая как TCP, так и UDP-трафик, что обеспечивает эффективную фильтрацию данных и обратное подключение к серверам управления (C2). Mandiant подчеркивает, что такие методы указывают на постоянную угрозу, представляющую собой не только UNC3886, но и аналогичные группы, которые используют сетевую инфраструктуру и технологии виртуализации для получения несанкционированного доступа и утечки конфиденциальной информации.

Рекомендации для организаций

Для противодействия угрозам, исходящим от таких групп, как UNC3886, исследования рекомендуют организациям:

  • Обновить свои уязвимые устройства;
  • Выполнить проверку целостности;
  • Внедрить методы безопасной аутентификации;
  • Принять комплексные стратегии анализа угроз.

Этот подход необходим для выявления распространенных угроз и защиты сетевой инфраструктуры от изощренной тактики кибершпионажа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: