UNC3886 olarak izlenen Çin-Nexus Siber Casusluk Grubu, özel arka kapıları dağıtmak için tasarlanmış bir kampanyanın bir parçası olarak Juniper Networks’ten Yaşam Sonu MX yönlendiricilerini hedefleyen ve dahili ağ altyapısına odaklanma yeteneklerini vurguladı.
Google, Google’a ait Mantiant, Hacker News ile paylaşılan bir raporda, “Backdoors, aktif ve pasif arka kapı işlevleri de dahil olmak üzere değişen özel özelliklere ve hedef cihazdaki günlük mekanizmalarını devre dışı bırakan gömülü bir komut dosyasına sahipti.” Dedi.
Tehdit istihbarat firması, gelişimi, Fortinet, Ivanti ve VMware cihazlarındaki sıfır gün güvenlik açıklarından yararlanan ve uzaktan erişim için kalıcılık oluşturmak için tarihsel olarak sıfır gün güvenlik açıklarından yararlanan düşmanlığın bir evrimi olarak nitelendirdi.
İlk olarak Eylül 2022’de belgelenen hack ekibi, “yüksek derecede usta” olarak değerlendiriliyor ve ABD ve Asya’da bulunan savunma, teknoloji ve telekomünikasyon organizasyonlarını ihlal etmek amacıyla kenar cihazlarını ve sanallaştırma teknolojilerini hedefleyebiliyor.
Bu saldırılar tipik olarak bu tür ağ çevre cihazlarının güvenlik izleme ve algılama çözümlerinden yoksundur, böylece engellenmemiş ve dikkat çekmeden çalışmalarına izin verir.
Mantiant, “Yönlendirme cihazlarının uzlaşması, casusluk motivasyonlu rakiplerin taktiklerinde, gelecekte daha fazla yıkıcı eylem potansiyeli olan önemli yönlendirme altyapısına uzun vadeli, üst düzey bir erişim sağladığı için yeni bir eğilimdir.” Dedi.
2014’ün ortalarında tespit edilen en son etkinlik, geçmişte liminal panda ve kadife karınca gibi çeşitli Çin hack grupları tarafından kullanılan C tabanlı bir arka kapı olan Tinyshell’e dayanan implantların kullanımını içerir.
Mantiant, her biri benzersiz bir yetenek taşıyan altı farklı Tinyshell tabanlı arka kapı tanımladığını söyledi –
- Dosya yükleme/indirme, interaktif kabuk, çorap proxy ve yapılandırma değişikliklerini destekleyen appid (örneğin, komut ve kontrol sunucusu, bağlantı noktası numarası, ağ arayüzü vb.)
- ek olarak, ancak farklı sert kodlu C2 sunucuları ile aynıdır
- IRAD, ICMP paketlerinden cihazda yürütülecek komutları çıkarmak için libpcap tabanlı bir paket sniffer görevi gören pasif bir arka kapı
- LMPAD, bir yardımcı program ve pasif bir arka kapı
- Dosya aktarımı ve uzaktan kabuk özelliklerine sahip bir UDP arka kapısı uygulayan JDOSD
- OEMD, C2 sunucusuyla TCP aracılığıyla iletişim kuran ve dosyaları yüklemek/indirmek ve bir kabuk komutunu yürütmek için standart Tinyshell komutlarını destekleyen pasif bir arka kapı
Ayrıca, güvenilmeyen kodun yürütülmesini önleyen Junos OS’in Doğrulanmış Exec (Verixec) korumalarını atlatarak kötü amaçlı yazılımları yürütme adımları atmak da dikkat çekicidir. Bu, meşru kimlik bilgilerini kullanarak ağ cihazlarını yönetmek için kullanılan bir terminal sunucusundan bir yönlendiriciye ayrıcalıklı erişim elde ederek gerçekleştirilir.
Yüksek izinler daha sonra kötü amaçlı yükleri meşru bir kedi işleminin belleğine enjekte etmek için kullanılır, bu da Viexec etkinken LMPAD arka kapısının yürütülmesine neden olur.
Mantiant, “Bu kötü amaçlı yazılımların temel amacı, operatör uygulamalı etkinlikler gerçekleştirmek için yönlendiriciye bağlanmadan önce olası tüm günlüğü devre dışı bırakmak ve daha sonra operatör bağlantısı kesildikten sonra günlükleri geri yüklemektir.”
UNC3886 tarafından dağıtılan diğer araçlardan bazıları sürüngen ve Medusa gibi rootkits; SSH kimlik doğrulamalarını ele geçirmek ve SSH kimlik bilgilerini yakalamak için pithook; ve Ghosttown anti-forensics amaçları için.
Organizasyonların, ardıç cihazlarını Juniper Networks tarafından yayınlanan en son görüntülere yükseltmeleri önerilir; bu, Juniper Kötü Yazılım Kaldırma Aracı (JMRT) için hafifletmeler ve güncellenmiş imzalar içerir.
Geliştirme, Lumen Black Lotus Labs’ın kurumsal sınıf ardıç ağları yönlendiricilerinin CD00R adlı bilinen bir arka kapının bir varyantını sunan bir kampanyanın bir parçası olarak özel bir arka kapının hedefi haline geldiğini açıklamasından bir aydan biraz fazla bir süre sonra geliyor.
Mantian araştırmacıları, “Juniper Networks’ün Junos OS yönlendiricilerine dağıtılan kötü amaçlı yazılım, UNC3886’nın gelişmiş sistem iç kısımları hakkında derinlemesine bilgiye sahip olduğunu gösteriyor.” Dedi.
“Ayrıca, UNC3886, pasif arka kapı kullanılarak, log ve adli tıp artefaktı kurcalama ile birlikte, uzun vadeli kalıcılığa odaklanarak tespit riskini en aza indirirken, operasyonlarında gizliliğe öncelik vermeye devam ediyor.”