-
09/04/2020
-
94
-
702 bài viết
Mã độc Trung Quốc nhắm vào router Juniper: Nguy cơ mất an toàn mạng nghiêm trọng
Nhóm tin tặc UNC3886 được cho là có liên quan đến Trung Quốc đã tấn công các router MX đã hết vòng đời của Juniper Networks nhằm triển khai cửa hậu (backdoor) tuỳ chỉnh, cho thấy khả năng xâm nhập hạ tầng mạng nội bộ.
Theo báo cáo từ Mandiant (thuộc Google), các cửa hậu này có nhiều chức năng, bao gồm vô hiệu hóa cơ chế ghi log trên thiết bị bị tấn công. UNC3886 từng khai thác lỗ hổng zero-day trên thiết bị Fortinet, Ivanti và VMware để duy trì quyền truy cập từ xa.
Nhóm này dường như đang nhắm vào các tổ chức quốc phòng, công nghệ và viễn thông tại Mỹ và châu Á. Chúng lợi dụng điểm yếu của các thiết bị mạng biên, vốn thiếu giải pháp giám sát an ninh, để duy trì sự xâm nhập lâu dài.
UNC3886 đã sử dụng các cửa hậu dựa trên TinyShell, một backdoor được viết bằng ngôn ngữ lập trình C, từng được các nhóm tin tặc Trung Quốc như Liminal Panda và Velvet Ant khai thác. Các biến thể của TinyShell trong chiến dịch này bao gồm:
Mandiant cũng phát hiện UNC3886 khai thác lỗ hổng CVE-2025-21590 (CVSS 6,7) trên Junos OS. Đây là một lỗ hổng liên quan đến việc cô lập hoặc phân vùng bảo mật không đúng cách, cho phép kẻ tấn công có quyền truy cập cục bộ cao thực thi mã tùy ý và xâm nhập thiết bị. Lỗ hổng này đã bị UNC3886 lợi dụng để vượt qua cơ chế bảo vệ của hệ điều hành Junos và triển khai các cửa hậu.
Ngoài ra, UNC3886 còn triển khai các rootkit như Reptile và Medusa, cùng công cụ như PITHOOK (đánh cắp thông tin SSH) và GHOSTTOWN (anti-forensics).
Các tổ chức sử dụng thiết bị mạng Juniper Networks, đặc biệt là các bộ định tuyến MX đã hết hỗ trợ cần:
Theo báo cáo từ Mandiant (thuộc Google), các cửa hậu này có nhiều chức năng, bao gồm vô hiệu hóa cơ chế ghi log trên thiết bị bị tấn công. UNC3886 từng khai thác lỗ hổng zero-day trên thiết bị Fortinet, Ivanti và VMware để duy trì quyền truy cập từ xa.
Nhóm này dường như đang nhắm vào các tổ chức quốc phòng, công nghệ và viễn thông tại Mỹ và châu Á. Chúng lợi dụng điểm yếu của các thiết bị mạng biên, vốn thiếu giải pháp giám sát an ninh, để duy trì sự xâm nhập lâu dài.
UNC3886 đã sử dụng các cửa hậu dựa trên TinyShell, một backdoor được viết bằng ngôn ngữ lập trình C, từng được các nhóm tin tặc Trung Quốc như Liminal Panda và Velvet Ant khai thác. Các biến thể của TinyShell trong chiến dịch này bao gồm:
- appid (A Poorly Plagiarized Implant Daemon): Hỗ trợ tải lên/xuống tệp, shell tương tác, proxy SOCKS và thay đổi cấu hình.
- to (TooObvious): Tương tự như appid nhưng với các máy chủ C2 được mã hóa cứng khác nhau.
- irad (Internet Remote Access Daemon): Cửa hậu thụ động hoạt động như một trình nghe gói tin libpcap để trích xuất lệnh từ các gói ICMP.
- lmpad (Local Memory Patching Attack Daemon): Tiện ích và cửa hậu thụ động có thể khởi chạy script bên ngoài để tiêm vào các tiến trình Junos OS hợp pháp nhằm ngăn chặn ghi log.
- jdosd (Junos Denial of Service Daemon): Triển khai cửa hậu UDP với khả năng chuyển tệp và shell từ xa.
- oemd (Obscure Enigmatic Malware Daemon): Cửa hậu thụ động giao tiếp với máy chủ C2 qua TCP và hỗ trợ các lệnh TinyShell tiêu chuẩn để tải lên/xuống tệp và thực thi lệnh shell.
Mandiant cũng phát hiện UNC3886 khai thác lỗ hổng CVE-2025-21590 (CVSS 6,7) trên Junos OS. Đây là một lỗ hổng liên quan đến việc cô lập hoặc phân vùng bảo mật không đúng cách, cho phép kẻ tấn công có quyền truy cập cục bộ cao thực thi mã tùy ý và xâm nhập thiết bị. Lỗ hổng này đã bị UNC3886 lợi dụng để vượt qua cơ chế bảo vệ của hệ điều hành Junos và triển khai các cửa hậu.
Ngoài ra, UNC3886 còn triển khai các rootkit như Reptile và Medusa, cùng công cụ như PITHOOK (đánh cắp thông tin SSH) và GHOSTTOWN (anti-forensics).
Các tổ chức sử dụng thiết bị mạng Juniper Networks, đặc biệt là các bộ định tuyến MX đã hết hỗ trợ cần:
- Cập nhật phần mềm và firmware mới nhất để vá các lỗ hổng bảo mật.
- Triển khai các giải pháp giám sát để phát hiện hoạt động bất thường.
- Xem xét thay thế các thiết bị đã hết vòng đời hỗ trợ bằng các thiết bị mới hơn với các tính năng bảo mật tiên tiến.
Theo The Hacker News