Kelompok spionase cyber China-Nexus yang dilacak karena UNC3886 telah diamati menargetkan router MX akhir kehidupan dari Juniper Networks sebagai bagian dari kampanye yang dirancang untuk menggunakan backdoors khusus, menyoroti kemampuan mereka untuk fokus pada infrastruktur jaringan internal.
“Backdoors memiliki berbagai kemampuan khusus, termasuk fungsi backdoor yang aktif dan pasif, serta skrip tertanam yang menonaktifkan mekanisme penebangan pada perangkat target,” kata Google-Onceed Mandiant dalam sebuah laporan yang dibagikan kepada Hacker News.
Perusahaan Ancaman Intelijen menggambarkan pengembangan sebagai evolusi dari Tradecraft musuh, yang secara historis memanfaatkan kerentanan zero-hari di Fortinet, Ivanti, dan perangkat VMware untuk melanggar jaringan yang menarik dan menetapkan kegigihan untuk akses jarak jauh.
Pertama kali didokumentasikan pada bulan September 2022, kru peretasan dinilai “sangat mahir” dan mampu menargetkan perangkat tepi dan teknologi virtualisasi dengan tujuan akhir untuk melanggar pertahanan, teknologi, dan organisasi telekomunikasi yang berlokasi di Amerika Serikat dan Asia.
Serangan -serangan ini biasanya memanfaatkan fakta bahwa perangkat perimeter jaringan tersebut tidak memiliki solusi pemantauan dan deteksi keamanan, sehingga memungkinkan mereka untuk beroperasi tanpa hambatan dan tanpa menarik perhatian.
“Kompromi perangkat perutean adalah tren baru-baru ini dalam taktik musuh yang termotivasi spionase karena memberikan kemampuan untuk akses jangka panjang, tingkat tinggi ke infrastruktur perutean yang penting, dengan potensi untuk tindakan yang lebih mengganggu di masa depan,” kata Mandiant.
Kegiatan terbaru, terlihat pada pertengahan 2024, melibatkan penggunaan implan yang didasarkan pada Tinyshell, pintu belakang berbasis C yang telah digunakan oleh berbagai kelompok peretasan Cina seperti liminal panda dan semut beludru di masa lalu.
Mandiant mengatakan itu mengidentifikasi enam backdoor berbasis tinyshell yang berbeda, masing -masing membawa kemampuan yang unik –
- AppID, yang mendukung pengunggahan/unduhan file, shell interaktif, proxy Socks, dan perubahan konfigurasi (misalnya, server perintah-dan-kontrol, nomor port, antarmuka jaringan, dll.)
- untuk, yang sama dengan appid tetapi dengan serangkaian server c2 yang berbeda
- Irad, pintu belakang pasif yang bertindak sebagai sniffer paket berbasis libpcap untuk mengekstrak perintah untuk dieksekusi pada perangkat dari paket ICMP
- LMPAD, utilitas dan pintu belakang pasif yang dapat meluncurkan skrip eksternal untuk melakukan injeksi proses ke dalam proses os Junos yang sah untuk menghentikan penebangan
- JDOSD, yang mengimplementasikan backdoor UDP dengan transfer file dan kemampuan shell jarak jauh
- OEMD, pintu belakang pasif yang berkomunikasi dengan server C2 melalui TCP dan mendukung perintah tinyshell standar untuk mengunggah/mengunduh file dan menjalankan perintah shell
Ini juga terkenal karena mengambil langkah -langkah untuk menjalankan malware dengan menghindari perlindungan Junos OS 'Verified Exec (VeriExec), yang mencegah kode yang tidak dipercaya untuk dieksekusi. Ini dilakukan dengan mendapatkan akses istimewa ke router dari server terminal yang digunakan untuk mengelola perangkat jaringan menggunakan kredensial yang sah.
Izin yang ditinggikan kemudian digunakan untuk menyuntikkan muatan jahat ke dalam memori proses kucing yang sah, menghasilkan pelaksanaan lmpad backdoor saat Verixec diaktifkan.
“Tujuan utama malware ini adalah untuk menonaktifkan semua kemungkinan pencatatan sebelum operator terhubung ke router untuk melakukan aktivitas langsung dan kemudian mengembalikan log setelah operator memutuskan sambungan,” kata Mandiant.
Beberapa alat lain yang digunakan oleh UNC3886 termasuk rootkit seperti reptil dan medusa; Pithook to Hijack SSH Otentikasi dan menangkap kredensial SSH; dan Ghosttown untuk tujuan anti-forensik.
Organisasi disarankan untuk meningkatkan perangkat juniper mereka ke gambar terbaru yang dirilis oleh Juniper Networks, yang mencakup mitigasi dan tanda tangan yang diperbarui untuk Juniper Malware Removal Tool (JMRT).
Pengembangan ini datang sedikit lebih dari sebulan setelah Lumen Black Lotus Labs mengungkapkan bahwa router Juniper Networks kelas perusahaan telah menjadi target pintu belakang khusus sebagai bagian dari kampanye yang dijuluki J-Magic yang memberikan varian dari backdoor yang dikenal bernama CD00R.
“Malware yang dikerahkan pada router Juniper Networks 'Junos OS menunjukkan bahwa UNC3886 memiliki pengetahuan mendalam tentang internal sistem canggih,” kata peneliti Mandiant.
“Selain itu, UNC3886 terus memprioritaskan siluman dalam operasinya melalui penggunaan pintu belakang pasif, bersama dengan log dan perusak artefak forensik, yang menunjukkan fokus pada kegigihan jangka panjang, sambil meminimalkan risiko deteksi.”
