Spionagekampagne des Akteurs UNC3886


Mandiant arbeitete mit Juniper Networks zusammen, um die Aktivitäten von UNC3886 zu untersuchen, und fand heraus, dass die betroffenen "Juniper MX"-Router, auf die die Gruppierung abzielte, mit veralteter Hardware und Software arbeiteten
UNC3886 nutzt ein eigenes Malware-Ökosystem: Mandiant fand sechs verschiedene Malware-Varianten, die auf mehreren ausgedienten "Juniper MX"-Routern eingesetzt werden


Nach einer monatelangen Untersuchung, die bis Mitte 2024 zurückreicht, veröffentlicht Mandiant ihre Erkenntnisse über eine verdeckte Spionagekampagne des Akteurs (UNC3886), der mit China in Verbindung steht: Dieser hat benutzerdefinierte Malware auf ausgedienten Junos OS-Routern von Juniper Networks installiert.

Mandiant arbeitete mit Juniper Networks zusammen, um die Aktivitäten von UNC3886 zu untersuchen, und fand heraus, dass die betroffenen Juniper MX-Router, auf die die Gruppierung abzielte, mit veralteter Hardware und Software arbeiteten. Die von UNC3886 verwendeten benutzerdefinierten Malware-Samples zeigen, dass der Bedrohungsakteur über ein umfassendes Wissen von weitreichenden Systeminterna verfügt.

Mandiant empfiehlt Unternehmen, ihre Juniper-Geräte auf die neuesten von Juniper Networks veröffentlichten Images zu aktualisieren, um Risiken zu minimieren und um aktualisierte Signaturen für das Juniper Malware Removal Tool (JMRT) zu erhalten. Unternehmen sollten nach dem Upgrade den JMRT Quick Scan und Integrity Check durchführen.

Wichtige Details:

>> UNC3886 nutzt ein eigenes Malware-Ökosystem:Mandiant fand sechs verschiedene Malware-Varianten, die auf mehreren ausgedienten Juniper MX-Routern eingesetzt werden. Jede dieser Varianten ist eine modifizierte Version der TINYSHELL-Backdoor, die es Angreifern ermöglicht, sich Zugang zu diesen Geräten zu verschaffen und sich länger dort aufzuhalten.

>> Dazu gehören aktive und passive Hintertüren sowie ein eingebettetes Skript, das die Protokollierungsmechanismen deaktiviert und so die Sicherheitsüberwachungssysteme ausblendet.

>> Veriexec, der integrierte Sicherheitsmechanismus von Junos OS: Mandiant hat keine Hinweise auf eine erfolgreiche Ausnutzung und Umgehung von Veriexec-Techniken gefunden, die bereits von Juniper in unterstützter Software und Hardware berücksichtigt wurden. Abgesehen von der im Blog beschriebenen neuartigen Prozessinjektionstechnik deuten die Infektionen auf den kompromittierten EOL Juniper MX-Routern jedoch darauf hin, dass der Bedrohungsakteur erfolgreich ausführbare Hintertüren eingesetzt hat. Der Angreifer verfügt über Root-Zugriff auf die betroffenen Geräte.

>> Veränderte Taktiken, Techniken und Verfahren (TTPs, Tactics, Techniques, and Procedures) des Bedrohungsakteurs: Während sich UNC3886 bisher auf Netzwerk-Edge-Geräte konzentrierte, zeigt diese jüngste Aktivität, dass die Gruppierung auch auf interne Netzwerkinfrastrukturen wie Router von Internetdienstanbietern abzielt, was im Erfolgsfall erhebliche Auswirkungen haben könnte.

>> Mandiant und Juniper Networks empfehlen Unternehmen, ihre Netzwerkgeräte auf aktuelle Versionen mit den neuesten Sicherheits-Patches zu aktualisieren, die Juniper Networks veröffentlichen wird.

>> Den Kunden von Juniper Networks wird dringend geraten, die Warnungen zu prüfen und die Empfehlungen umzusetzen.
(Google Cloud: Mandiant: ra)

eingetragen: 05.05.25

Mandiant: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Geleakte Zugangsdaten zunächst unentdeckt Fünfundzwanzig SAP-Sicherheitshinweise

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen