中国链接的APT UNC3886目标EOL杜松路由器
Mandiant研究人员警告说,与中国有联系的参与者正在杜松网络junos OS MX路由器上部署自定义后门。在2024年中,Mandiant在Juniper Networks的Junos OS路由器上确定了自定义后门,并将攻击归因于以UNC3886的追踪的中国链接间谍组。这些基于Tinyshell的后门具有各种功能,包括主动和被动访问以及[…]
来源:Security Affairs _恶意软件中国链接的APT UNC3886目标EOL杜松路由器
Mandiant研究人员警告说,与中国有联系的演员正在杜松网络Junos OS MX路由器上部署自定义后门。
在2024年中期,Mandiant在Juniper Networks的Junos OS路由器上确定了自定义后门,并将攻击归因于以UNF3886的中国连接的间谍组。这些基于Tinyshell的后门具有各种功能,包括主动和被动访问以及禁用登录的脚本。 Mandiant与Juniper Networks合作进行了调查,发现受影响的杜松MX路由器正在运行过时的硬件和软件,使它们容易受到剥削。
tinyshellunc3886是一个复杂的中国与中国与网络间谍组相关的小组,它使用零日的利用来针对网络设备和虚拟化技术。它的主要重点是美国和亚洲的国防,技术和电信部门。
在2023年,APT组针对多个政府组织,使用FortInt Zero-Day CVE-2022-41328来部署自定义后门。
CVE-2022-41328该集团在Juniper Networks的Junos OS路由器上的最新操作展示了对系统内部设备的深入了解。 UNC3886通过使用被动后门并篡改原木和法医文物来确保长期持久性在逃避检测时确保长期的持久性,从而优先考虑隐身。
下面是Mandiant提供的后门的描述:
确定了以下恶意软件样本:
appid
to
irad
lmpad
JDOSD
OEMD
@securityaffairs
Facebook
mastodon
Pierluigi Paganini
( -