El congregación de espionaje cibernético de China-Nexus rastreado como UNC3886 se ha observado que se dirige a los enrutadores MX al final de la vida de las redes de Juniper como parte de una campaña diseñada para implementar puertas traseras personalizadas, destacando su capacidad de enfocarse en la infraestructura interna de redes.
“Las puertas traseras tenían capacidades personalizadas diferentes, incluidas las funciones de puerta trasera activa y pasiva, así como un script integrado que deshabilita los mecanismos de registro en el dispositivo objetivo”, dijo Google Mandiant en un noticia compartido con las telediario de Hacker.
La firma de inteligencia de amenazas describió el explicación como una crecimiento de la artesanía del adversario, que históricamente ha aplicado las vulnerabilidades de día cero en los dispositivos Fortinet, Ivanti y VMware para violar las redes de interés y establecer persistencia para el camino remoto.
Documentado por primera vez en septiembre de 2022, se evalúa que el equipo de piratería es “en gran medida experimentado” y capaz de dirigirse a dispositivos de borde y tecnologías de virtualización con el objetivo final de violar la defensa, la tecnología y las organizaciones de telecomunicaciones ubicadas en los Estados Unidos y Asia.
Estos ataques generalmente aprovechan el hecho de que tales dispositivos perimetrales de red carecen de soluciones de monitoreo y detección de seguridad, lo que les permite intervenir sin obstáculos y sin gustar la atención.
“El compromiso de los dispositivos de enrutamiento es una tendencia flamante en las tácticas de los adversarios motivados por espionaje, ya que otorga la capacidad de un camino de stop nivel a dispendioso plazo a la infraestructura de enrutamiento crucial, con el potencial de acciones más disruptivas en el futuro”, dijo Mandiant.
La última actividad, manchada a mediados de 2024, implica el uso de implantes que se basan en TinyShell, una puerta trasera basada en C que ha sido utilizada por varios grupos de piratería chinos como el panda liminal y el terciopelo en el pasado.
Mandiant dijo que identificó seis puertas traseras distintas de TinyShell, cada una con una capacidad única,
- Appid, que admite la carga/descarga de archivos, el shell interactivo, el proxy de los calcetines y los cambios de configuración (por ejemplo, servidor de comando y control, número de puerto, interfaz de red, etc.)
- a, que es lo mismo que APPID pero con un conjunto diferente de servidores C2 codificados
- IRAD, una puerta trasera pasiva que actúa como un sniffer de paquetes basado en libpcap para extraer comandos que se ejecutarán en el dispositivo desde los paquetes ICMP
- LMPAD, una utilidad y una puerta trasera pasiva que puede iniciar un script forastero para realizar la inyección de procesos en procesos legítimos de Junos OS para estancar el registro
- JDOSD, que implementa una puerta trasera de UDP con transferencia de archivos y capacidades de shell remota
- OEMD, una puerta trasera pasiva que se comunica con el servidor C2 a través de TCP y admite comandos tipificado de TinyShell para cargar/descargar archivos y ejecutar un comando shell
Todavía es sobresaliente tomar medidas para ejecutar el malware al eludir las protecciones ejecutivas verificadas de Junos OS (VeriExec), que evitan que el código no confiable se ejecute. Esto se logra obteniendo camino privilegiado a un enrutador desde un servidor terminal utilizado para ordenar dispositivos de red utilizando credenciales legítimas.
Los permisos elevados se utilizan para inyectar las cargas de aperos maliciosas en la memoria de un proceso de astuto legal, lo que resulta en la ejecución de la puerta trasera de LMPAD mientras Veriexec está apoderado.
“El objetivo principal de este malware es deshabilitar todos los registros posibles antaño de que el cámara se conecte al enrutador para realizar actividades prácticas y luego restaurar los registros a posteriori de que el cámara se desconecte”, señaló Mandiant.
Algunas de las otras herramientas desplegadas por UNC3886 incluyen Rootkits como Reptile y Medusa; Pithook para secuestrar autenticaciones SSH y capturar credenciales de SSH; y Ghosttown para fines anti-forenses.
Se recomienda a las organizaciones que actualicen sus dispositivos Juniper a las últimas imágenes publicadas por Juniper Networks, que incluye mitigaciones y firmas actualizadas para la útil de asesinato de malware de Juniper (JMRT).
El explicación se produce poco más de un mes a posteriori de que Lumen Black Lotus Labs reveló que los enrutadores de redes de enebro de jerarquía empresarial se han convertido en el objetivo de una puerta trasera personalizada como parte de una campaña denominada J-Magic que ofrece una modificación de una conocida puerta trasera llamamiento CD00R.
“El malware implementado en los enrutadores del sistema operante Junos de Juniper Networks demuestra que UNC3886 tiene un conocimiento profundo de los internales del sistema liberal”, dijeron los investigadores de Mandiant.
“Adicionalmente, UNC3886 continúa priorizando el sigilo en sus operaciones mediante el uso de puertas traseras pasivas, contiguo con la manipulación de artefactos log y forenses, lo que indica un enfoque en la persistencia a dispendioso plazo, al tiempo que minimiza el peligro de detección”.
