Çin Hacked Exploit Juniper Networks yönlendiricileri arka kapıyı implant etmek için


Siber güvenlik araştırmacıları, kritik ağ altyapısını hedefleyen sofistike bir siber casusluk kampanyası ortaya çıkardılar ve Çin devlet destekli bilgisayar korsanlarının taktiklerinde önemli bir evrimi işaretlediler.

Önde gelen bir siber güvenlik firması olan Mantian, ardıç ağlarının yönlendiricilerine konuşlandırılan ve etkinliği UNC3886 olarak bilinen bir Çin casusluk grubuna atfeten birden fazla özel backroor keşfetti.

Backdoors, saldırganlara aktif olarak algılama mekanizmalarından kaçarken uzlaşmış ağlara kalıcı erişim sağladı.

2024’ün ortalarında Mantiant, tehdit aktörlerinin Juniper Networks’ün Junos OS yönlendiricilerine birçok organizasyonel ağ altyapısının kritik bileşenlerini oluşturan özel arka kapı kullandığını keşfetti.

APT bilgisayar korsanları, bu arka kapıları, özellikle ABD ve Asya’daki savunma, teknoloji ve telekomünikasyon organizasyonlarında, ağ cihazlarını ve sanallaştırma teknolojilerini hedefleme geçmişine sahip yüksek vasıflı bir Çin-nexus siber casusluk grubu olan UNC388’e bağladı.

Mantiant, etkinliği araştırmak için Juniper Networks ile çalıştı ve etkilenen Juniper MX yönlendiricilerinin yaşam sonu donanım ve yazılımı çalıştırdığını belirleyerek onları uzlaşmaya karşı özellikle savunmasız hale getirdi.

Keşif, Mantiant’ın UNC3886’nın sanallaştırma teknolojileri ve 2022 ve 2023 yıllarında ağ kenar cihazlarına konuşlandırılan benzer kötü amaçlı yazılım ekosistemlerinin önceki raporlarına dayanıyor.

Bu son kampanya, UNC3886’nın, hedeflenen cihazların altında yatan teknolojinin derin bir anlayışını gösterirken, mağdur ağlarına uzun vadeli erişimi sürdürmeye odaklandığını gösteriyor.

Özel özelliklere sahip sofistike Tinyshell tabanlı arka kapılar

Mantiant’ın soruşturması, birden fazla uzlaşmış Juniper MX yönlendiricisinde altı ayrı kötü amaçlı yazılım örneği tanımladı.

Her numune, özel bir ikili protokol kullanarak iletişim kuran, ancak Junos OS için özel olarak tasarlanmış benzersiz özelliklere sahip olan C’de yazılmış hafif bir arka kapı olan Tinyshell arka kapısının değiştirilmiş bir versiyonuydu.

Arka kapılar, “Appid”, “To”, “Irad”, “LMPAD”, “JDOSD” ve “OEMD” dahil olmak üzere meşru ardıç sistem süreçlerini taklit eden isimlerle akıllıca gizlendi.

Saldırganlar, Normalde yetkisiz kod yürütülmesini önleyen Juniper’ın doğrulanmış EXEC (Verixec) koruma sistemini atlatarak önemli teknik gelişmişlik gösterdiler.

UNC3886 bunu meşru süreçlerin belleğine kötü amaçlı kod enjekte ederek başardı.

Backdoors, hem komut ve kontrol sunucuları ile iletişimi başlatacak aktif varyantları hem de belirli ağ tetikleyicileri alana kadar uykuda kalacak pasif varyantları dahil etti.

Belki de en önemlisi, hedef cihazlardaki günlüğe kaydetme mekanizmalarını devre dışı bırakmak için özel olarak tasarlanmış kodun dahil edilmesiydi ve saldırganların faaliyetlerinin kanıtlarını etkili bir şekilde sildi.

Ağ Güvenliği için Çıkarımlar ve Öneriler

Uzlaşmalar, genellikle uç nokta algılama ve yanıt (EDR) ajanları gibi sağlam güvenlik izleme çözümlerinden yoksun olan yönlendirme altyapısını hedefleyen casusluk yapımlı rakiplerin bir eğilimini vurgulamaktadır.

Bu etkinlik, saldırganlara, gelecekte daha fazla yıkıcı eylem potansiyeli olan önemli yönlendirme altyapısına uzun vadeli, üst düzey erişim sağlar.

Mantiant, kuruluşların kendilerini korumak için çeşitli önerilerde bulundu.

Her şeyden önce, kuruluşlar ardıç cihazlarını Juniper Networks tarafından yayınlanan en son yazılım görüntülerine yükseltmelidir;

Yükselttikten sonra kuruluşlar JMRT Hızlı Tarama ve Dürüstlük Kontrolünü çalıştırmalıdır.

Ek öneriler arasında sağlam çok faktörlü kimlik doğrulamasının uygulanması, ağ cihazları için ayrıntılı erişim kontrolü, idari faaliyetlerin geliştirilmiş izlenmesi, güvenlik açığı yönetimine öncelik verilmesi, bir cihaz yaşam döngüsü yönetimi programının uygulanması, erişim kontrolleri ve segmentasyon yoluyla güvenlik duruşunun güçlendirilmesi ve güvenlik kontrollerini iyileştirmek için tehdit istihbaratından yararlanma.

Ağ altyapısı sofistike tehdit aktörleri tarafından hedeflenmeye devam ettikçe, kuruluşlar dijital iletişimin omurgasını oluşturan bu kritik sistemleri korumak için güvenlik önlemlerinde uyanık ve proaktif kalmalıdır.

Uzlaşma göstergeleri

Ana bilgisayar tabanlı göstergeler

Dosya adı Kötü amaçlı yazılım ailesi MD5 SHA1 SHA256
müstehcen Tinyshell 2C89A18944D3A895BD6432415546635E 50520639cf77df0c15c95076fac901e3d04b708 98380EC6BFF4E03D3F490CDC6C48C3771450930E4ADF82E6E14D244D83733888
söz Tinyshell AAC5D83D296DF81C9259C9A533A8423A 1A6D07DA7E77A5706AF899BE4DAA74BBE91 5bef7608d66112315efff354dae42f49178b7498f994a728ae6203a59f5a2
JDOSD Tinyshell 8023D01FFB7A38B582F0D598AFB974E 06A1F879DA398C0052649171526DC968F769093 C0EC15E08B4FB3730C5695FB7B4A6B85F7FE341282AD469E4E141C40ED310C3
lmppad Tinyshell 5724D76F832CE8061F74B0E9F1DCAD90 f8697b400059d4d502eee2d269735aa8e2df9a 5995aaf5a047565c0d7fe3c80fa34c40e7e8c3e7d4df292316c8472d4ac67a
oemd Tinyshell E762D983D22E749B3658600DF00296D CF7AF504EF0796D91207E41815187A793D430D85 905b18d5df58dd6c16930e318d9574a2ad793c93ad2f68bca813574e3d8554b
ile Tinyshell b9e4784fa0e6283ce6e2094426a02fce 0173bb47a933ae9ec470e6be737d6f646a8c66 E1de05A2832437AB70D36C4C05B43C4A57F856289224BD41182DEEA978400ED
oemd Tinyshell BF80C96089D37B8571B5DE7CAB14D9F CEC327E51B79CF11B3EFFEBF1BE8AC0D66E9529 3751997cfcb03e6b658e9180bc7cce28a3c25dbb892b61bcd1065723f11f7e
lmppad Tinyshell 3243E04AFE18CC5E1230D49011E19899 2E9215A203E908483D04DFC0328651D79D35B54F 7ae38a27494dd6c1bc9ab3c02c3709282e0bcf1e5fcf59a57dc3ae56cfd13b4

Ağ Göstergeleri

Tanım Gösterge
Tinyshell Komut ve Kontrol Sunucusu 129.126.109.50:22
Tinyshell Komut ve Kontrol Sunucusu 116.88.34.184:22
Tinyshell Komut ve Kontrol Sunucusu 223.25.78.136:22
Tinyshell Komut ve Kontrol Sunucusu 45.77.39.28:22
Tinyshell Komut ve Kontrol Sunucusu 101.100.182.122:22
Tinyshell Komut ve Kontrol Sunucusu 118.189.188.122:22
Tinyshell Komut ve Kontrol Sunucusu 158.140.135.244:22
Tinyshell Komut ve Kontrol Sunucusu 8.222.225.8:22

SOC/DFIR ekiplerinden misiniz?: Kötü amaçlı yazılım olaylarını analiz edin ve any.run -> şimdi ücretsiz başlayın.



Source link