Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware UNC3886 Cyber-Spionage-Gruppe

UNC3886 Cyber-Spionage-Gruppe

Von Mezo in Malware, Hintertür-Viren
Übersetzen Sie in:
Deutsch

Die mit China verbundene Cyberspionage-Organisation UNC3886 hat es aktiv auf ausgediente MX-Router abgesehen, um maßgeschneiderte Hintertüren zu installieren. Diese Kampagne unterstreicht ihre Fähigkeit, interne Netzwerkinfrastrukturen zu infiltrieren und dabei sowohl aktive als auch passive Hintertüren zu nutzen. Einige Varianten enthalten sogar eingebettete Skripte, die Protokollierungsmechanismen deaktivieren und Angreifern so ermöglichen, unentdeckt zu agieren.

Eine sich entwickelnde Bedrohungsgruppe

UNC3886 nutzt bereits seit längerem Zero-Day-Schwachstellen in Fortinet-, Ivanti- und VMware-Geräten, um in Netzwerke einzudringen und dort langfristige Persistenz zu etablieren. Diese jüngste Operation stellt eine Weiterentwicklung ihrer Techniken dar und konzentriert sich auf Netzwerkhardware, die oft nicht über eine Sicherheitsüberwachung verfügt.

Seit ihrer ersten dokumentierten Aktivität im September 2022 hat UNC3886 eine hohe Kompetenz bei der gezielten Bekämpfung von Edge-Geräten und Virtualisierungstechnologien bewiesen und zielt dabei auf die Verteidigungs-, Technologie- und Telekommunikationssektoren in den USA und Asien ab.

Warum Routing-Geräte?

Spionageorientierte Angreifer konzentrieren sich in letzter Zeit verstärkt auf die Kompromittierung von Routing-Geräten. Durch die Kontrolle über kritische Infrastrukturen können Angreifer langfristig Zugriff behalten und gleichzeitig in Zukunft potenziell störende Aktivitäten durchführen.

Die TinyShell-Verbindung: Eine Waffe der Wahl

Die jüngste Aktivität, die Mitte 2024 entdeckt wurde, betrifft Implantate auf Basis von TinyShell, einer leichtgewichtigen C-basierten Backdoor, die von chinesischen Hackergruppen wie Liminal Panda und Velvet Ant bevorzugt wird. Der Open-Source-Charakter von TinyShell macht es zu einer praktischen Wahl, da es eine einfache Anpassung ermöglicht und gleichzeitig die Zuordnung erschwert.

Sicherheitsforscher haben sechs verschiedene Hintertüren auf Basis von TinyShell identifiziert, jede mit ihrer eigenen Funktionalität:

  • appid (ein schlecht plagiierter Implant Daemon) – Bietet Dateiübertragung, interaktive Shell, SOCKS-Proxy und C2-Konfigurationsänderungen.
  • zu (TooObvious) – Ähnlich wie appid, aber mit unterschiedlichen fest codierten C2-Servern.
  • irad (Internet Remote Access Daemon) – Fungiert als passive Hintertür durch Packet Sniffing über ICMP-Pakete.
  • lmpad (Local Memory Patching Attack Daemon) – Verwendet Prozessinjektion, um die Protokollierung zu umgehen.
  • jdosd (Junos Denial of Service Daemon) – Eine UDP-Hintertür mit Remote-Shell-Funktionen.
  • oemd (Obscure Enigmatic Malware Daemon) – Eine passive Hintertür, die TCP zur Kommunikation mit C2-Servern verwendet.

Umgehen der Junos OS-Sicherheitsvorkehrungen

Die Angreifer haben Methoden entwickelt, um trotz der Verified Exec (veriexec)-Schutzmechanismen von Junos OS, die die Ausführung unbefugter Codes verhindern sollen, Schadsoftware auszuführen. Indem sie sich über einen Terminalserver privilegierten Zugriff verschaffen, injizieren sie schädliche Payloads in legitime Prozesse und sichern so deren Persistenz, ohne entdeckt zu werden.

Weitere Werkzeuge im Angriffsarsenal

Neben TinyShell-Backdoors setzt UNC3886 zusätzliche Tools ein:

  • Reptile & Medusa – Rootkits für heimliches Fortbestehen.
  • PITHOOK – Wird verwendet, um die SSH-Authentifizierung zu kapern und Anmeldeinformationen zu erfassen.
  • GHOSTTOWN – Entwickelt für Antiforensikzwecke.

Organisationen, die Geräte von Juniper verwenden, wird dringend empfohlen, diese auf die neuesten Firmware-Versionen zu aktualisieren, um diese Bedrohungen zu mindern.

Ein weiterer Angriff, ein weiterer Bedrohungsakteur?

Interessanterweise zielte eine separate Kampagne namens J-Magic auf Juniper-Router der Enterprise-Klasse ab und nutzte dabei eine Backdoor-Variante namens cd00r. Diese Aktivität wird jedoch einer anderen, mit China verbundenen Gruppe, UNC4841, zugeschrieben. Es gibt keine bekannten Verbindungen zu UNC3886, die auf ausgediente Juniper-Router abzielt.

Ausnutzung von CVE-2025-21590 zur Persistenz

Juniper Networks hat bestätigt, dass die jüngsten Infektionen mindestens eine Schwachstelle – CVE-2025-21590 (CVSS v4-Score: 6,7) – ausnutzten. Diese Schwachstelle im Junos OS-Kernel ermöglicht es Angreifern mit hohen Privilegien, beliebigen Code einzuschleusen und so die Geräteintegrität zu gefährden.

Patches wurden für die Junos OS-Versionen 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2 und 24.4R1 veröffentlicht. Unternehmen müssen sicherstellen, dass sie diese aktualisierten Versionen verwenden.

UNC3886: Meister der Heimlichkeit und Beharrlichkeit

Die Expertise von UNC3886 im Bereich fortschrittlicher System-Interna zeigt sich im strategischen Einsatz passiver Hintertüren, Protokollmanipulation und forensischer Umgehung. Das Hauptziel bleibt die langfristige Persistenz bei gleichzeitiger Minimierung des Erkennungsrisikos, was eine anhaltende und erhebliche Herausforderung für die Cybersicherheit darstellt.

 

Im Trend

Am häufigsten gesehen

Wird geladen...