Le groupe de cyber-espionnage China-Nexus suivi sous le nom de UNC3886 a été observé ciblant les routeurs MX de fin de vie de Juniper Networks dans le cadre d’une campagne conçue pour déployer des incarcérées personnalisées, mettant en évidence leur capacité à se concentrer sur l’infrastructure de réseautage interne.
“Les déambulations avaient des capacités personnalisées variables, y compris les fonctions de porte dérobée actives et passives, ainsi qu’un script intégré qui désactive dit Dans un rapport partagé avec le Hacker News.
La société de renseignement sur les menaces a décrit le développement comme une évolution de l’adversaire de l’adversaire, qui a historiquement exploité les vulnérabilités zéro-jours dans les appareils Fortinet, Ivanti et VMware pour violer les réseaux d’intérêt et établir la persistance de l’accès à distance.
Documé pour la première fois en septembre 2022, l’équipe de piratage est évaluée comme “très adepte” et capable de cibler les appareils Edge et les technologies de virtualisation dans le but ultime de violer la défense, la technologie et les organisations de télécommunications situées aux États-Unis et en Asie.
Ces attaques profitent généralement du fait que ces dispositifs de périmètre de réseau manquent de solutions de surveillance et de détection de sécurité, leur permettant ainsi de fonctionner sans entrave et sans attirer l’attention.
“Le compromis des dispositifs de routage est une tendance récente dans les tactiques des adversaires motivés à l’espionnage car il accorde la capacité d’un accès à long terme et de haut niveau à l’infrastructure de routage cruciale, avec un potentiel d’actions plus perturbatrices à l’avenir”, a déclaré Mandiant.
La dernière activité, repérée à la mi-2024, implique l’utilisation d’implants basés sur Minouune porte dérobée basée en C qui a été utilisée par divers groupes de piratage chinois comme le panda liminal et la fourmi velours dans le passé.
Mandiant a déclaré avoir identifié six bornes de borlles à base de tinyshell distinctes, chacune portant une capacité unique –
- AppID, qui prend en charge le téléchargement / téléchargement de fichiers, le shell interactif, le proxy de chaussettes et les modifications de configuration (par exemple, serveur de commande et contrôle, numéro de port, interface réseau, etc.)
- à, ce qui est identique à AppID mais avec un ensemble différent de serveurs C2 à code dur
- Irad, une porte dérobée passive qui agit comme un sniffer de paquets basé sur libpcap pour extraire des commandes à exécuter sur l’appareil à partir des paquets ICMP
- LMPAD, un service public et une porte dérobée passive qui peut lancer un script externe pour effectuer l’injection de processus dans des processus Junos OS légitimes pour bloquer la journalisation
- JDOSD, qui implémente une porte dérobée UDP avec transfert de fichiers et capacités de shell distant
- OEMD, une porte dérobée passive qui communique avec le serveur C2 via TCP et prend en charge les commandes Tinyshell standard pour télécharger / télécharger des fichiers et exécuter une commande shell
Il est également notable queVeriexec) Protections, qui empêchent l’exécution du code non fiable. Ceci est accompli en obtenant un accès privilégié à un routeur à partir d’un serveur de terminal utilisé pour gérer les périphériques réseau à l’aide d’identification légitimes.
Les autorisations élevées sont ensuite utilisées pour injecter les charges utiles malveillantes dans la mémoire d’un processus de chat légitime, ce qui entraîne l’exécution de la porte dérobée LMPAD pendant que Veriexec est activée.
“L’objectif principal de ce logiciel malveillant est de désactiver toute la journalisation possible avant que l’opérateur ne se connecte au routeur pour effectuer des activités pratiques, puis de restaurer plus tard les journaux après la déconnexion de l’opérateur”, a noté Mandiant.
Certains des autres outils déployés par UNC3886 incluent Rootkits comme Reptile et Medusa; Pithook pour détourner les authentifications SSH et capturer les informations d’identification SSH; et Ghostown à des fins anti-forances.
Les organisations sont recommandées pour mettre à niveau leurs appareils Juniper vers le Dernières images Libéré par Juniper Networks, qui comprend des atténuations et des signatures mises à jour pour l’outil de suppression de logiciels malveillants Juniper (Jmrt).
Le développement survient un peu plus d’un mois après que Lumen Black Lotus Labs a révélé que les routeurs de réseaux Juniper de qualité d’entreprise sont devenus la cible d’une porte dérobée personnalisée dans le cadre d’une campagne surnommée J-Magic qui offre une variante d’une porte dérobée connue nommée CD00R.
“Les logiciels malveillants déployés sur les routeurs Junos OS Junos de Juniper Networks démontrent que l’UNC3886 a une connaissance approfondie des internes de système avancé”, ont déclaré des chercheurs Mandiant.
“En outre, l’UNC3886 continue de hiérarchiser la furtivité dans ses opérations grâce à l’utilisation de déchets passifs, ainsi que de la falsification des artefacts en logarithme et en criminalistique, indiquant un accent sur la persistance à long terme, tout en minimisant le risque de détection.”



