UNC3886 нацелился на маршрутизаторы Juniper

Китайско-немецкая шпионская группа UNC3886 установила пользовательские бэкдоры на маршрутизаторы Juniper Networks, использующие операционную систему Junos OS. Бэкдоры обладали различными функциями, включая отключение журналирования на устройствах. Компания Mandiant рекомендует обновить устройства Juniper до последних версий и выполнить проверку целостности с помощью Juniper Malware Removal Tool (JMRT).

UNC3886 APT

UNC3886 ранее использовала вредоносные программы для атак на сетевые устройства, и они продолжают использовать скрытные методы, такие как пассивные бэкдоры и подделка журналов. Их целью является долгосрочный доступ к сетям жертв, и они проявляют глубокое понимание технологий, на которые направлены их атаки. Mandiant не обнаружила технических совпадений между действиями UNC3886 и другими известными группами хакеров.

Juniper Networks Junos OS - это операционная система, используемая на устройствах маршрутизации, коммутации и безопасности Juniper. Она основана на FreeBSD и поддерживает два режима работы - режим CLI и режим оболочки. UNC3886 успешно обошла систему целостности файлов в Junos OS, известную как Veriexec, чтобы выполнить вредоносный код.

Расследование Mandiant также показало, что UNC3886 приобрел root-доступ к скомпрометированным устройствам Juniper MX, которые уже использовались. Хотя Mandiant не обнаружила признаков успешного обхода Veriexec, UNC3886 смог обойти систему, внедрив вредоносный код в доверенные процессы.

В целом, UNC3886 продолжает усовершенствовать свои методы и тактики, используя новые инструменты и обходя системы безопасности. Организации, использующие устройства Juniper, должны обновить свои устройства и выполнить проверку целостности и защиты, чтобы предотвратить возможные атаки.

Indicators of Compromise

IPv4

• 101.100.182.122
• 116.88.34.184
• 118.189.188.122
• 129.126.109.50
• 158.140.135.244
• 223.25.78.136
• 45.77.39.28
• 8.222.225.8

IPv4 Port Combinations

• 101.100.182.122:22
• 116.88.34.184:22
• 118.189.188.122:22
• 129.126.109.50:22
• 158.140.135.244:22
• 223.25.78.136:22
• 45.77.39.28:22
• 8.222.225.8:22

MD5

• 2c89a18944d3a895bd6432415546635e
• 3243e04afe18cc5e1230d49011e19899
• 5724d76f832ce8061f74b0e9f1dcad90
• 8023d01ffb7a38b582f0d598afb974ee
• aac5d83d296df81c9259c9a533a8423a
• b9e4784fa0e6283ce6e2094426a02fce
• bf80c96089d37b8571b5de7cab14dd9f
• e7622d983d22e749b3658600df00296d

SHA1

• 01735bb47a933ae9ec470e6be737d8f646a8ec66
• 06a1f879da398c00522649171526dc968f769093
• 1a6d07da7e77a5706dd8af899ebe4daa74bbbe91
• 2e9215a203e908483d04dfc0328651d79d35b54f
• 50520639cf77df0c15cc95076fac901e3d04b708
• cec327e51b79cf11b3eeffebf1be8ac0d66e9529
• cf7af504ef0796d91207e41815187a793d430d85
• f8697b400059d4d5082eee2d269735aa8ea2df9a

SHA256

• 3751997cfcb038e6b658e9180bc7cce28a3c25dbb892b661bcd1065723f11f7e
• 5995aaff5a047565c0d7fe3c80fa354c40e7e8c3e7d4df292316c8472d4ac67a
• 5bef7608d66112315eefff354dae42f49178b7498f994a728ae6203a8a59f5a2
• 7ae38a27494dd6c1bc9ab3c02c3709282e0ebcf1e5fcf59a57dc3ae56cfd13b4
• 905b18d5df58dd6c16930e318d9574a2ad793ec993ad2f68bca813574e3d854b
• 98380ec6bf4e03d3ff490cdc6c48c37714450930e4adf82e6e14d244d8373888
• c0ec15e08b4fb3730c5695fb7b4a6b85f7fe341282ad469e4e141c40ead310c3
• e1de05a2832437ab70d36c4c05b43c4a57f856289224bbd41182deea978400ed