Эксперты Mandiant раскрыли серию изощренных бэкдоров в устройствах Juniper Networks

CyberSecureFox 🦊

Команда исследователей компании Mandiant выявила серию сложных целевых бэкдоров, внедренных в устаревшие маршрутизаторы Juniper Networks под управлением операционной системы Junos OS. Особую обеспокоенность вызывает способность вредоносного ПО обходить встроенную систему защиты veriexec, отвечающую за контроль целостности файлов в ядре операционной системы.

Механизм проникновения и особенности атаки

Злоумышленники использовали многоэтапный подход для компрометации устройств. Первоначальный доступ осуществлялся через легитимные учетные данные с последующим входом в FreeBSD через командную строку Junos OS. После получения доступа атакующие применяли продвинутые техники инъекции процессов для обхода систем обнаружения и механизма veriexec.

Технический анализ вредоносного ПО

Исследователи идентифицировали шесть различных вариаций вредоносного ПО, созданных на базе открытого бэкдора TinyShell. Каждая версия обладала уникальными механизмами активации и функциональностью, специально адаптированной под особенности Junos OS. Злоумышленники использовали технику here document для создания зашифрованных base64-файлов, содержащих сжатые архивы с вредоносной нагрузкой.

Атрибуция и масштаб угрозы

По оценкам специалистов Mandiant, за атаками стоит китайская APT-группировка UNC3886, известная своими предыдущими операциями против сетевого оборудования и систем виртуализации с использованием эксплойтов нулевого дня. Основными целями злоумышленников являются оборонные, технологические и телекоммуникационные организации в США и странах Азии.

Меры противодействия и рекомендации

Для противодействия угрозе Mandiant опубликовала индикаторы компрометации и правила YARA. Компания Juniper Networks, несмотря на прекращение поддержки затронутых устройств, выпустила экстренные обновления безопасности. Специалисты настоятельно рекомендуют организациям обновить устройства до актуальных версий прошивки и использовать последние сигнатуры Juniper Malware Removal Tool (JMRT).

Данный инцидент подчеркивает критическую важность своевременного обновления сетевого оборудования и необходимость постоянного мониторинга безопасности инфраструктуры, даже если речь идет об устаревших устройствах. Организациям следует уделять особое внимание защите систем аутентификации и регулярно проводить аудит безопасности сетевой инфраструктуры для предотвращения подобных целевых атак.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.