Eenmaal binnen gebruikten de hackers procesinjectietechnieken om detectie te voorkomen en implementeerden ze backdoors met zowel actieve als passieve functionaliteiten. Daarnaast schakelde een ingebed script de logmechanismen van de gecompromitteerde apparaten uit. Uit de analyse bleek dat UNC3886 een “Here Document”-methode gebruikte om een Base64-gecodeerd bestand te genereren, dat na decodering een gecomprimeerd archief met schadelijke payloads bevatte.
Mandiant identificeerde zes varianten van op TINYSHELL gebaseerde malware, speciaal aangepast voor Junos OS, wat wijst op diepgaande kennis van het systeem door de aanvallers. De groep richtte zich op netwerk-authenticatiediensten zoals TACACS+ en terminalservers met routertoegang om verhoogde privileges te verkrijgen.
Een volledige analyse van de activiteiten van de aanvallers werd bemoeilijkt door de eigendomskarakteristieken van de gecompromitteerde netwerkapparatuur. Om beveiligingsteams te helpen bij het opsporen van mogelijke infecties, heeft Mandiant Indicatoren van Compromittering (IOCs) en YARA-regels vrijgegeven.
Om risico’s te minimaliseren, wordt organisaties sterk aangeraden om hun Juniper-routers bij te werken naar de nieuwste firmwareversie, die verbeterde beveiligingsmaatregelen bevat. Ook wordt aanbevolen om de Juniper Malware Removal Tool (JMRT) uit te voeren met een snelle scan en integriteitscontrole na de update. Nu cyberspionagebedreigingen blijven toenemen, zijn regelmatige updates en uitgebreide monitoring cruciaal voor netwerkbeveiliging.
Source: SecurityWeek
De European Cyber Intelligence Forum is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.