Вошли, украли, замели следы: тактика UNC3886 против Juniper

RutoR

Support81

Original poster
Administrator
Сообщения
1 210
Реакции
212
Посетить сайт
Как хакерам удаётся контролировать сеть без малейших признаков вторжения?
juniper.jpg


Китайская кибергруппа UNC3886 взломала устаревшие маршрутизаторы MX от Juniper Networks, используя скрытые бэкдоры.

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

Mandiant, злоумышленники применяют активные и пассивные бэкдоры, отключают логирование и сохраняют доступ в сети жертв.

UNC3886 известна с 2022 года и атаaкует сетевые устройства и виртуализацию, нацеливаясь на оборонные, технологические и телекоммуникационные компании в США и Азии. Устройства на периметре сети, как правило, не имеют мониторинга, что и позволяет

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

действовать незаметно.

Последние атаки используют бэкдоры на основе

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

. Они позволяют загружать и скачивать файлы, перехватывать пакеты, внедряться в процессы Junos OS и выполнять команды. Хакеры обходят защиту Junos OS Verified Exec, используя украденные учётные данные для внедрения кода в системные процессы.

Основная цель атак — отключение логирования перед подключением оператора и его восстановление после завершения работы. В дополнение к бэкдорам UNC3886 применяет руткиты Reptile и Medusa, утилиты PITHOOK (для кражи SSH-учётных данных) и GHOSTTOWN (для удаления следов атак).

Эксперты рекомендуют обновить Juniper MX до актуальных версий и использовать Juniper Malware Removal Tool (JMRT). Также важно усилить мониторинг сетевой активности и использовать средства обнаружения аномалий для предотвращения подобных атак в будущем.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 

Название темы

Русскоязычный Даркнет Форум