- Forscher von Mandiant sahen eine neue Hacking -Kampagne, die sich mit den Routern von Juniper Networks abzielte
- Sie führten es einem chinesischen Schauspieler zu, das sich an Telekommunikations-, Verteidigungs- und Technologieunternehmen zielte
- Benutzer werden aufgefordert, ihre Geräte zu aktualisieren und zu scannen
Chinesische Hacker richten sich an Juniper Networks -Router mit unterschiedlichen Änderungen einer Hintertür MalwareIn einem Versuch, auf Verteidigung, Technologie und Telekommunikationsorganisationen in den USA und in Asien zuzugreifen.
GoogleDas Cybersecurity -Team Mandiant schrieb eine Eingehende Analyse auf der Gruppe heute früher. Laut dem Bericht entdeckten die Forscher Mitte 2024 erstmals böswillige Aktivitäten und führten sie der China-Nexus-Spionagegruppe UNC3886 zu.
TechRadar Pro hat in der Vergangenheit mehrfach über diesen Bedrohungsdarsteller berichtet, als sie beobachtet wurden, als sie sich gegen VMware Targeting Targeting beobachteten. Ivanti VPNund andere Produkte mit Hintertüren und Malware.
Sechs Malware -Proben
Mandiant sagt, dass die Angreifer Junos OS-betriebene Geräte durch den Umgehung von Veriexec (verifiziert Exec), dem Kernel-basierten Dateiintegritäts-Subsystem des Geräts, in die das OS vor nicht autorisierten Code-Binaries wie Bibliotheken und Skripten umgeht.
“Die Ausführung von nicht vertrauenswürdigem Code ist immer noch möglich, wenn er im Kontext eines vertrauenswürdigen Prozesses auftritt”, erklärten die Forscher. “Die Untersuchung von Mandiant ergab, dass UNC3886 diesen Schutz umgehen konnte, indem er böswilliger Code in die Erinnerung eines legitimen Prozesses injizierte.”
UNC3886 zielte auf seine Opfer mit sechs verschiedenen Malware -Proben, die alle eine Variante der Tinyshell -Hintertür mit einzigartigen Funktionen sind. Während alle die gleiche Kernfunktionalität haben, unterscheiden sie sich in Bezug auf Aktivierungsmethoden und unterschiedliche OS-spezifische Merkmale.
Mandiant sagt, dass die Angreifer „weiterhin ein tiefes Verständnis der zugrunde liegenden Technologie der zugrunde liegenden Geräte aufweisen“, und empfohlene Benutzer, ihre Juniper -Geräte auf die neuesten Bilder zu verbessern. Dazu gehören Minderungen und aktualisierte Signaturen für das Juniper Malware Entfernungstool (JMRT), das nach dem Upgrade aktiviert werden sollte, um die Integrität der Endpunkte zu scannen.
“Zum Zeitpunkt des Schreibens hat Mandiant keine technischen Überschneidungen zwischen in diesem Blog -Beitrag beschriebenen Aktivitäten und den öffentlich gemeldeten Parteien als Volt Typhoon oder Salz -Taifun identifiziert”, fügte Mandiant hinzu, dass Salz -Taifun, Volt Taifun und UNC3886 unterschiedliche Entitäten seien (aber möglicherweise unter demselben Flächen).
Sie könnten auch mögen
Source link
