Вошли, украли, замели следы: тактика UNC3886 против Juniper

Китайская кибергруппа UNC3886 взломала устаревшие маршрутизаторы MX от Juniper Networks, используя скрытые бэкдоры. По данным Mandiant, злоумышленники применяют активные и пассивные бэкдоры, отключают логирование и сохраняют доступ в сети жертв.

UNC3886 известна с 2022 года и атаaкует сетевые устройства и виртуализацию, нацеливаясь на оборонные, технологические и телекоммуникационные компании в США и Азии. Устройства на периметре сети, как правило, не имеют мониторинга, что и позволяет хакерам действовать незаметно.

Последние атаки используют бэкдоры на основе TinyShell . Они позволяют загружать и скачивать файлы, перехватывать пакеты, внедряться в процессы Junos OS и выполнять команды. Хакеры обходят защиту Junos OS Verified Exec, используя украденные учётные данные для внедрения кода в системные процессы.

Основная цель атак — отключение логирования перед подключением оператора и его восстановление после завершения работы. В дополнение к бэкдорам UNC3886 применяет руткиты Reptile и Medusa, утилиты PITHOOK (для кражи SSH-учётных данных) и GHOSTTOWN (для удаления следов атак).

Эксперты рекомендуют обновить Juniper MX до актуальных версий и использовать Juniper Malware Removal Tool (JMRT). Также важно усилить мониторинг сетевой активности и использовать средства обнаружения аномалий для предотвращения подобных атак в будущем.