Siber güvenlik araştırmacıları, kritik ağ altyapısını hedefleyen sofistike bir siber casusluk kampanyası ortaya çıkardılar ve Çin devlet destekli bilgisayar korsanlarının taktiklerinde önemli bir evrimi işaretlediler.
Önde gelen bir siber güvenlik firması olan Mantian, ardıç ağlarının yönlendiricilerine konuşlandırılan ve etkinliği UNC3886 olarak bilinen bir Çin casusluk grubuna atfeten birden fazla özel backroor keşfetti.
Backdoors, saldırganlara aktif olarak algılama mekanizmalarından kaçarken uzlaşmış ağlara kalıcı erişim sağladı.
2024’ün ortalarında Mantiant, tehdit aktörlerinin Juniper Networks’ün Junos OS yönlendiricilerine birçok organizasyonel ağ altyapısının kritik bileşenlerini oluşturan özel arka kapı kullandığını keşfetti.
APT bilgisayar korsanları, bu arka kapıları, özellikle ABD ve Asya’daki savunma, teknoloji ve telekomünikasyon organizasyonlarında, ağ cihazlarını ve sanallaştırma teknolojilerini hedefleme geçmişine sahip yüksek vasıflı bir Çin-nexus siber casusluk grubu olan UNC388’e bağladı.
Mantiant, etkinliği araştırmak için Juniper Networks ile çalıştı ve etkilenen Juniper MX yönlendiricilerinin yaşam sonu donanım ve yazılımı çalıştırdığını belirleyerek onları uzlaşmaya karşı özellikle savunmasız hale getirdi.
Keşif, Mantiant’ın UNC3886’nın sanallaştırma teknolojileri ve 2022 ve 2023 yıllarında ağ kenar cihazlarına konuşlandırılan benzer kötü amaçlı yazılım ekosistemlerinin önceki raporlarına dayanıyor.
Bu son kampanya, UNC3886’nın, hedeflenen cihazların altında yatan teknolojinin derin bir anlayışını gösterirken, mağdur ağlarına uzun vadeli erişimi sürdürmeye odaklandığını gösteriyor.
Özel özelliklere sahip sofistike Tinyshell tabanlı arka kapılar
Mantiant’ın soruşturması, birden fazla uzlaşmış Juniper MX yönlendiricisinde altı ayrı kötü amaçlı yazılım örneği tanımladı.
Her numune, özel bir ikili protokol kullanarak iletişim kuran, ancak Junos OS için özel olarak tasarlanmış benzersiz özelliklere sahip olan C’de yazılmış hafif bir arka kapı olan Tinyshell arka kapısının değiştirilmiş bir versiyonuydu.
Arka kapılar, “Appid”, “To”, “Irad”, “LMPAD”, “JDOSD” ve “OEMD” dahil olmak üzere meşru ardıç sistem süreçlerini taklit eden isimlerle akıllıca gizlendi.
Saldırganlar, Normalde yetkisiz kod yürütülmesini önleyen Juniper’ın doğrulanmış EXEC (Verixec) koruma sistemini atlatarak önemli teknik gelişmişlik gösterdiler.
UNC3886 bunu meşru süreçlerin belleğine kötü amaçlı kod enjekte ederek başardı.
Backdoors, hem komut ve kontrol sunucuları ile iletişimi başlatacak aktif varyantları hem de belirli ağ tetikleyicileri alana kadar uykuda kalacak pasif varyantları dahil etti.
Belki de en önemlisi, hedef cihazlardaki günlüğe kaydetme mekanizmalarını devre dışı bırakmak için özel olarak tasarlanmış kodun dahil edilmesiydi ve saldırganların faaliyetlerinin kanıtlarını etkili bir şekilde sildi.
Ağ Güvenliği için Çıkarımlar ve Öneriler
Uzlaşmalar, genellikle uç nokta algılama ve yanıt (EDR) ajanları gibi sağlam güvenlik izleme çözümlerinden yoksun olan yönlendirme altyapısını hedefleyen casusluk yapımlı rakiplerin bir eğilimini vurgulamaktadır.
Bu etkinlik, saldırganlara, gelecekte daha fazla yıkıcı eylem potansiyeli olan önemli yönlendirme altyapısına uzun vadeli, üst düzey erişim sağlar.
Mantiant, kuruluşların kendilerini korumak için çeşitli önerilerde bulundu.
Her şeyden önce, kuruluşlar ardıç cihazlarını Juniper Networks tarafından yayınlanan en son yazılım görüntülerine yükseltmelidir;
Yükselttikten sonra kuruluşlar JMRT Hızlı Tarama ve Dürüstlük Kontrolünü çalıştırmalıdır.
Ek öneriler arasında sağlam çok faktörlü kimlik doğrulamasının uygulanması, ağ cihazları için ayrıntılı erişim kontrolü, idari faaliyetlerin geliştirilmiş izlenmesi, güvenlik açığı yönetimine öncelik verilmesi, bir cihaz yaşam döngüsü yönetimi programının uygulanması, erişim kontrolleri ve segmentasyon yoluyla güvenlik duruşunun güçlendirilmesi ve güvenlik kontrollerini iyileştirmek için tehdit istihbaratından yararlanma.
Ağ altyapısı sofistike tehdit aktörleri tarafından hedeflenmeye devam ettikçe, kuruluşlar dijital iletişimin omurgasını oluşturan bu kritik sistemleri korumak için güvenlik önlemlerinde uyanık ve proaktif kalmalıdır.
Uzlaşma göstergeleri
Ana bilgisayar tabanlı göstergeler
| Dosya adı | Kötü amaçlı yazılım ailesi | MD5 | SHA1 | SHA256 |
| müstehcen | Tinyshell | 2C89A18944D3A895BD6432415546635E | 50520639cf77df0c15c95076fac901e3d04b708 | 98380EC6BFF4E03D3F490CDC6C48C3771450930E4ADF82E6E14D244D83733888 |
| söz | Tinyshell | AAC5D83D296DF81C9259C9A533A8423A | 1A6D07DA7E77A5706AF899BE4DAA74BBE91 | 5bef7608d66112315efff354dae42f49178b7498f994a728ae6203a59f5a2 |
| JDOSD | Tinyshell | 8023D01FFB7A38B582F0D598AFB974E | 06A1F879DA398C0052649171526DC968F769093 | C0EC15E08B4FB3730C5695FB7B4A6B85F7FE341282AD469E4E141C40ED310C3 |
| lmppad | Tinyshell | 5724D76F832CE8061F74B0E9F1DCAD90 | f8697b400059d4d502eee2d269735aa8e2df9a | 5995aaf5a047565c0d7fe3c80fa34c40e7e8c3e7d4df292316c8472d4ac67a |
| oemd | Tinyshell | E762D983D22E749B3658600DF00296D | CF7AF504EF0796D91207E41815187A793D430D85 | 905b18d5df58dd6c16930e318d9574a2ad793c93ad2f68bca813574e3d8554b |
| ile | Tinyshell | b9e4784fa0e6283ce6e2094426a02fce | 0173bb47a933ae9ec470e6be737d6f646a8c66 | E1de05A2832437AB70D36C4C05B43C4A57F856289224BD41182DEEA978400ED |
| oemd | Tinyshell | BF80C96089D37B8571B5DE7CAB14D9F | CEC327E51B79CF11B3EFFEBF1BE8AC0D66E9529 | 3751997cfcb03e6b658e9180bc7cce28a3c25dbb892b61bcd1065723f11f7e |
| lmppad | Tinyshell | 3243E04AFE18CC5E1230D49011E19899 | 2E9215A203E908483D04DFC0328651D79D35B54F | 7ae38a27494dd6c1bc9ab3c02c3709282e0bcf1e5fcf59a57dc3ae56cfd13b4 |
Ağ Göstergeleri
| Tanım | Gösterge |
| Tinyshell Komut ve Kontrol Sunucusu | 129.126.109.50:22 |
| Tinyshell Komut ve Kontrol Sunucusu | 116.88.34.184:22 |
| Tinyshell Komut ve Kontrol Sunucusu | 223.25.78.136:22 |
| Tinyshell Komut ve Kontrol Sunucusu | 45.77.39.28:22 |
| Tinyshell Komut ve Kontrol Sunucusu | 101.100.182.122:22 |
| Tinyshell Komut ve Kontrol Sunucusu | 118.189.188.122:22 |
| Tinyshell Komut ve Kontrol Sunucusu | 158.140.135.244:22 |
| Tinyshell Komut ve Kontrol Sunucusu | 8.222.225.8:22 |
SOC/DFIR ekiplerinden misiniz?: Kötü amaçlı yazılım olaylarını analiz edin ve any.run -> şimdi ücretsiz başlayın.