Çinli bilgisayar korsanları, Yaşam Sonu (EOL) ulaşan ve artık güvenlik güncellemeleri almayan Junos OS MX yönlendiricilerine Juniper Networks’e özel arka planlar kullanıyor.
Backdoors, öncelikle Linux sistemlerinde veri alışverişini ve komuta yürütülmesini kolaylaştıran ve yıllar boyunca birden fazla tehdit grubu tarafından kullanılan açık kaynaklı bir araç olan Tinyshell kötü amaçlı yazılımlarının varyantlarıdır.
Saldırılar, 2014’ün ortalarında, saldırıları UNC3886 olarak bilinen bir siber boyama tehdidi aktörüne bağlayan Mantiant tarafından keşfedildi.
Mantiant’ın yeni bir raporu, “2024’ün ortalarında Mantiant, Juniper Networks’ün Junos OS yönlendiricileri üzerinde çalışan özel backroors kullandığını tehdit eden oyunculukları keşfetti.”
“Mandiant, bu arka fırını Çin-Nexus Casusluk Grubu, UNC3886’ya bağladı. Mandiant, Juniper Networks ‘Junos OS yönlendiricilerinde faaliyet gösteren birkaç Tinyshell tabanlı arka kapıyı ortaya çıkardı.”
Bu tehdit oyuncusu, sanallaştırma platformlarını ve kenar ağ cihazlarını tehlikeye atmak için sıfır gün güvenlik açıklarını kullanan sofistike saldırılarla bilinir.
2023’te Çinli bilgisayar korsanları, özel arka planları dağıtmak için Fortinet sıfır gün kırılganlığı (CVE-2022-41328) kullanan bir dizi hükümet kuruluşunun arkasındaydı. O yılın ilerleyen saatlerinde, tehdit aktörleri Backdoor ESXI sunucularına VMware ESXI Zero-Day güvenlik açığından yararlandı.
6 backrod ile ardıç yönlendiricilerine saldırıyor
Mantiant, tehdit aktörlerinin Junos OS CLI’sine erişmek ve FreeBSD kabuk moduna yükselmek için tehlikeye atılan kimlik bilgilerini kullandıkları ağ cihazlarını yönetmek için kullanılan terminal sunucularından başlayarak UNC3886 saldırılarını gözlemledi.
Araştırmacılar, Junos OS’nin ‘Verixec’ adlı bir dosya bütünlüğü sistemine sahip olduğunu ve yetkisiz kodun cihazlarda çalışmasını önleyen bir dosya olduğunu belirtiyor. Ancak, güvenilir süreçlere enjekte edilen kodun hala yürütülebileceğini keşfettiler.
Mantion araştırmacılar, “Verixec koruması, yetkisiz ikili dosyaların yürütülmesini engelliyor. Verixec’i devre dışı bırakmak uyarıları tetikleyebileceğinden, tehdit aktörleri için bir zorluk oluşturuyor.”
“Bununla birlikte, güvenilir bir süreç bağlamında meydana gelirse, güvenilmeyen kodun yürütülmesi hala mümkündür. Mantiant’ın soruşturması, UNC3886’nın kötü amaçlı kodları meşru bir sürecin hafızasına enjekte ederek atlatabildiğini ortaya koydu.”
Bu yöntemi kullanan UNC3886, MX yönlendiricilerine altı özel arka kolu kurdu, hepsi Tinyshell’e dayanıyor:
- müstehcen – ‘Appidd’ meşru süreci taklit eden aktif arka kapı. Uzak bir kabuk oturumu oluşturur, dosyaların yüklenmesine/indirilmesine izin verir ve kötü amaçlı trafik için bir vekil görevi görebilir.
- ile – Meşru süreci ‘üstünü’ taklit eden aktif arka kapı. Appid’e benzer şekilde çalışır, ancak farklı komut ve kontrol (C2) adresleri kullanır.
- söz – Meşru ‘Irad’ sürecini taklit eden pasif bir arka kapı. Ağ trafiğine gömülü sihirli bir ICMP dizesi tarafından etkinleştirilene kadar kalan bir paket sniffer arka kapı olarak çalışır. Tetiklendikten sonra, geleneksel algılama yöntemlerinden kaçarken uzak bir kabuk oturumu oluşturur.
- JDOSD – Meşru ‘JDDOSD’ sürecini taklit eden pasif bir arka kapı. UDP bağlantı noktası 33512’yi dinler ve saldırgandan sihirli bir değer (0xdeadbeef) aldığında etkinleştirilir. Etkinleştirildikten sonra, uzaktan kabuk erişimi sağlar ve saldırganların komutları gizlice yürütmesine izin verir.
- oemd – ‘OAMD’ meşru sürecini taklit eden pasif arka kapı. Ağ ile aktive edilecek şekilde tasarlanmıştır, kendisini sabit bir bağlantı noktası yerine belirli ağ arayüzlerine bağlar. Gizli, şifreli kontrolü sağlamak için AES şifrelemesi kullanarak TCP üzerinden C2 ile iletişim kurar.
- lmppad – Meşru ‘LMPD’ sürecini taklit eden bir hizmet ve pasif arka kapı. Öncelikle bir saldırıdan önce günlüğü ve güvenlik izlemeyi kapatmak için kullanılır ve Juniper’ın SNMP ve Tespiti Önlemek için Yönetim Demonlarını değiştirir. Saldırgan işlemlerinden sonra, izinsiz girişin adli izlerini silerek günlükleri geri yükleyebilir.
Gizli ve kalıcılık için, UNC3886 tarafından saldırılarda kullanılan altı arka kolun her biri farklı bir C2 iletişim yöntemine sahiptir ve ayrı bir sabit kodlu C2 sunucu adresleri kümesi kullanır.
UNC3886’nın yaşam sonu ardıç MX yönlendiricilerini hedeflediği göz önüne alındığında, öncelik bu cihazları aktif olarak desteklenen yeni modellerle değiştirmeli ve daha sonra bunları en son ürün yazılımına yükseltmelidir.
Juniper bu sefer düzeltmeler yayınlamamasına rağmen, satıcı Juniper Kötü Yazılım Kaldırma Aracı (JMRT) için hafifletme önerileri ve güncellenmiş imzalar içeren bir bülten yayınladı.
Sistem yöneticileri ayrıca Merkezi Kimlik ve Erişim Yönetimi (IAM) sistemi kullanarak ve tüm ağ aygıtları için çok faktörlü kimlik doğrulama (MFA) uygulayarak kimlik doğrulama güvenliğini güçlendirmelidir.
Bu kampanya ile ilgili uzlaşma göstergelerinin (IOC’ler) tam bir listesi ve Mantiant’ın raporunun altında Yara ve Snort/Suricata kuralları verilmiştir.
Ardıç yönlendiricileri daha önce özel olarak hazırlanmış paketler aldığında cihaza ters bir kabuk açan J-Magic kötü amaçlı yazılım saldırılarına da hedeflenmiştir. Bu kampanya, düşük tespit ve kurumsal ağlara uzun vadeli erişim için tasarlanmıştır.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.