Una volta ottenuto l’accesso, gli hacker hanno impiegato tecniche di iniezione di processo per evitare il rilevamento, incorporando backdoor con funzionalità sia attive che passive. Inoltre, un apposito script disabilitava i registri di accesso sui router compromessi. Le analisi hanno rivelato che UNC3886 ha utilizzato un metodo “here document” per generare un file codificato in base64 che, una volta decodificato, conteneva un archivio compresso con payload dannosi.
Mandiant ha identificato sei varianti di malware basate su TINYSHELL, ognuna delle quali modificata per adattarsi a Junos OS, dimostrando la profonda conoscenza del sistema da parte degli attaccanti. Il gruppo ha concentrato le sue attività sui servizi di autenticazione di rete, come TACACS+, e sui server terminali con accesso ai router per ottenere un accesso privilegiato.
L’analisi della portata completa delle attività degli hacker è risultata complessa a causa della natura proprietaria dei dispositivi di rete coinvolti. Per aiutare i team di sicurezza a individuare eventuali infezioni, Mandiant ha rilasciato Indicatori di Compromissione (IOC) e regole YARA.
Per ridurre il rischio, si raccomanda alle organizzazioni di aggiornare i propri router Juniper all’ultima versione del firmware, che include misure di sicurezza avanzate e mitigazioni. È inoltre consigliato eseguire il Juniper Malware Removal Tool (JMRT) con una scansione rapida e un controllo di integrità dopo l’aggiornamento. Con la continua evoluzione delle minacce di ciber-spionaggio, aggiornamenti tempestivi e monitoraggio costante restano fondamentali per la sicurezza delle reti.
Source: SecurityWeek
La European Cyber Intelligence Forum è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.