14/03/25
По данным Mandiant, злоумышленники применяют активные и пассивные бэкдоры, отключают логирование и сохраняют доступ в сети жертв.
UNC3886 известна с 2022 года и атaкует сетевые устройства и виртуализацию, нацеливаясь на оборонные, технологические и телекоммуникационные компании в США и Азии, напоминает Securitylab. Устройства на периметре сети, как правило, не имеют мониторинга, что и позволяет хакерам действовать незаметно.
Последние атаки используют бэкдоры на основе TinyShell . Они позволяют загружать и скачивать файлы, перехватывать пакеты, внедряться в процессы Junos OS и выполнять команды. Хакеры обходят защиту Junos OS Verified Exec, используя украденные учётные данные для внедрения кода в системные процессы.
Основная цель атак — отключение логирования перед подключением оператора и его восстановление после завершения работы. В дополнение к бэкдорам UNC3886 применяет руткиты Reptile и Medusa, утилиты PITHOOK (для кражи SSH-учётных данных) и GHOSTTOWN (для удаления следов атак).
