ジュニパーネットワークスのJunos OS MXルーターに、中国のハッカーがカスタムバックドアを仕掛けています。
このバックドアは主にTinyShellマルウェアの亜種で、Linuxシステム上でデータ交換やコマンド実行を容易にするオープンソースツールであり、長年にわたって複数の脅威グループによって使用されてきました。
この攻撃は2024年半ばにMandiant社によって発見され、Mandiant社はこの攻撃をUNC3886として知られるサイバースパイ行為者に起因するものとしています。
「2024年半ば、Mandiantは、脅威アクターがジュニパーネットワークスのJunos OSルーター上で動作するカスタムバックドアを展開していることを発見しました。
「Mandiantは、これらのバックドアをChina-nexusのスパイグループ、UNC3886に起因する。Mandiantは、ジュニパーネットワークスのJunos OSルータ上で動作する複数のTINYSHELLベースのバックドアを発見した。
この脅威主体は、ゼロデイ脆弱性を利用した高度な攻撃で知られており、仮想化プラットフォームやエッジネットワーキングデバイスを侵害します。
2023年、中国のハッカーは、フォーティネットのゼロデイ脆弱性(CVE-2022-41328)を利用してカスタムバックドアを展開し、政府機関を狙った一連の攻撃の背後にいました。同年後半には、VMware ESXiのゼロデイ脆弱性を悪用し、ESXiホストにバックドアを仕掛けました。
6つのバックドアでジュニパーのルーターを攻撃
Mandiantは、ネットワーク機器の管理に使用されるターミナルサーバから始まるUNC3886攻撃を観測しており、脅威者は侵害された認証情報を使用してJunos OS CLIにアクセスし、FreeBSDシェルモードにエスカレートしています。
研究者らは、Junos OSには「Veriexec」と名付けられたファイル整合性システムがあり、デバイス上で未承認のコードが実行されるのを防いでいることに注目している。しかし、信頼されたプロセスに注入されたコードが実行される可能性があることを発見した。
「Veriexecの保護は、未承認のバイナリが実行されるのを防ぎます。Veriexecを無効にすると警告が発せられるため、これは脅威行為者にとって課題となります」とMandiantの研究者は説明する。
「しかし、信頼されたプロセスのコンテキスト内で発生した場合、信頼されていないコードの実行は可能です。Mandiantの調査により、UNC3886は悪意のあるコードを正規プロセスのメモリに注入することで、この保護を回避できることが明らかになった。
この方法を利用して、UNC3886はMXルーターに6つのカスタムバックドアをインストールしました:
- appid – 正規プロセスのappiddを模倣するアクティブなバックドア。リモートシェルセッションを確立し、ファイルのアップロード/ダウンロードを可能にし、悪意のあるトラフィックのプロキシとして機能することができる。
- to – 正規のプロセス「top」を模倣するアクティブなバックドア。appidと同様の機能を持ちますが、異なるコマンド・アンド・コントロール(C2)アドレスを使用します。
- irad – 正規プロセスを模倣するパッシブなバックドア。パケット・スニファー・バックドアとして動作し、ネットワーク・トラフィックに埋め込まれたマジックICMP文字列によって起動されるまで、休止状態のままです。いったん起動すると、従来の検知方法を回避しながらリモートシェルセッションを確立します。
- jdosd – 正規の「jddosd」プロセスを模倣したパッシブなバックドア。UDPポート33512でリッスンし、攻撃者からマジック値(0xDEADBEEF)を受け取ると起動します。有効化されるとリモートシェルアクセスを提供し、攻撃者が秘密裏にコマンドを実行できるようになります。
- oemd – 正規のプロセス「oamd」を模倣したパッシブバックドア。ネットワーク上で作動するように設計されており、固定ポートではなく、特定のネットワークインターフェースに自身をバインドします。AES 暗号化を使って TCP 経由で C2 と通信し、ステルスで暗号化された制御を行います。
- lmpad – 正規の ‘lmpd’ プロセスを模倣したユーティリティでパッシブなバックドア。主に、攻撃前にロギングやセキュリティ監視をオフにし、ジュニパーのSNMPや管理デーモンを変更して検知を防ぐために使用されます。攻撃者の操作後、ログを復元し、侵入のフォレンジックトレースを消去することができます。
ステルス性と持続性を高めるため、UNC3886が攻撃で使用した6つのバックドアのそれぞれは、明確なC2通信方法を持ち、ハードコードされたC2サーバー・アドレスの別個のセットを使用します。
UNC3886 は、製造終了のジュニパー製 MX ルーターを標的としているため、これらのデバイスをアクティブにサ ポートされている新しいモデルに交換し、それらを最新のファームウェアにアップグレードすることを優先す べきである。
今回、ジュニパーは修正プログラムをリリースしていないが、ジュニパーは、Juniper Malware Removal Tool(JMRT)に対する緩和策とシグネチャの更新を含む情報を公開している。
また、システム管理者は、一元化されたアイデンティティ&アクセス管理(IAM)システムを使用し、すべてのネットワーク機器に対して多要素認証(MFA)を実施することで、認証セキュリティを強化する必要がある。
このキャンペーンに関連する侵害の指標(IoC)の完全なリストとYARAおよびSnort/Suricataのルールは、Mandiantのレポートの下部に記載されています。
ジュニパーのルーターは以前にも、特別に細工されたパケットを受信するとデバイスにリバースシェルを開くJ-Magicマルウェア攻撃の標的にもなっていました。このキャンペーンは、企業ネットワークへの低発見かつ長期的なアクセスを目的として設計されていました。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments