Il gruppo di cyber spionaggio noto come UNC3886, legato alla Cina, è stato osservato mentre prende di mira i router MX di Juniper Networks ormai obsoleti. Questa campagna è progettata per distribuire backdoor personalizzate, mettendo in evidenza la loro capacità di concentrarsi sull’infrastruttura di rete interna.
Backdoor personalizzate e capacità avanzate
Le backdoor create da UNC3886 presentano capacità personalizzate, tra cui funzioni di backdoor attive e passive, oltre a uno script incorporato che disabilita i meccanismi di registrazione sui dispositivi bersaglio. Questa evoluzione delle tecniche di attacco dimostra come il gruppo sia in grado di sfruttare vulnerabilità zero-day in dispositivi di Fortinet, Ivanti e VMware per penetrare nelle reti di interesse e stabilire un accesso remoto persistente.
Obiettivi e tattiche del gruppo
Documentato per la prima volta nel settembre 2022, il gruppo di hacker è considerato “altamente abile” e capace di prendere di mira dispositivi di frontiera e tecnologie di virtualizzazione. L’obiettivo finale è violare organizzazioni nei settori della difesa, tecnologia e telecomunicazioni situate negli Stati Uniti e in Asia. Questi attacchi sfruttano la mancanza di soluzioni di monitoraggio e rilevamento della sicurezza nei dispositivi di rete periferici, permettendo loro di operare senza ostacoli e senza attirare l’attenzione.
Trend recenti e potenziali minacce future
La compromissione dei dispositivi di routing è una tendenza recente nelle tattiche degli avversari motivati dallo spionaggio, poiché consente un accesso a lungo termine e di alto livello all’infrastruttura di routing cruciale, con un potenziale per azioni più dirompenti in futuro.
Attività recente e utilizzo di TinyShell
L’attività più recente, individuata a metà 2024, coinvolge l’uso di impianti basati su TinyShell, una backdoor in C utilizzata in passato da vari gruppi di hacker cinesi come Liminal Panda e Velvet Ant. Sono state identificate sei backdoor distinte basate su TinyShell, ognuna con capacità uniche.
Descrizione delle backdoor TinyShell
Le backdoor includono:
- appid: supporta il caricamento/scaricamento di file, shell interattiva, proxy SOCKS e modifiche alla configurazione.
- to: simile ad appid ma con un diverso set di server C2 hard-coded.
- irad: una backdoor passiva che funge da sniffer di pacchetti basato su libpcap.
- lmpad: un’utilità e una backdoor passiva che può eseguire uno script esterno per iniettare processi nei processi legittimi di Junos OS.
- jdosd: implementa una backdoor UDP con capacità di trasferimento file e shell remota.
- oemd: una backdoor passiva che comunica con il server C2 tramite TCP e supporta i comandi standard di TinyShell.
Queste backdoor sono note per eludere le protezioni di Junos OS Verified Exec (veriexec), che impediscono l’esecuzione di codice non attendibile, ottenendo l’accesso privilegiato a un router da un terminal server utilizzato per la gestione della rete.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!