中國駭客組織UNC3886使用TinyShell後門攻擊Juniper路由器

Google旗下的Mandiant資安研究團隊發現，中國國家級駭客組織UNC3886於2024年中旬針對Juniper Networks的MX系列路由器發動攻擊，在已達生命週期終點(EOL)且不再接收安全更新的設備上植入多款基於TinyShell的自定義後門程式。這些攻擊主要針對美國的電信服務提供商和關鍵基礎設施組織，讓駭客能夠隱蔽地監控網路流量並長期存取被害網路。

攻擊手法

根據Mandiant的最新報告，UNC3886駭客組織首先利用被盜用的憑證訪問管理網路設備的終端伺服器，然後進入Junos OS命令列界面並提升至FreeBSD shell模式。雖然Junos OS擁有名為"Veriexec"的文件完整性系統，可防止未授權代碼執行，但研究人員發現駭客能夠繞過這種保護機制，將惡意程式碼注入受信任程序的記憶體中。

利用這種繞過方法，UNC3886在MX路由器上安裝了六款自定義後門，全部基於開源的TinyShell惡意軟體，這是一種用於Linux系統資料交換和命令執行的工具：

• appid - 主動後門，偽裝成合法的'appidd'程序。建立遠端shell會話，允許上傳/下載文件，並可作為惡意流量的代理。
• to - 主動後門，偽裝成合法的'top'程序。功能類似appid但使用不同的命令與控制(C2)伺服器地址。
• irad - 被動後門，偽裝成合法的'irad'程序。作為封包嗅探器，在接收到網路流量中嵌入的特定ICMP字串後才會被喚醒。
• jdosd - 被動後門，偽裝成合法的'jddosd'程序。監聽UDP埠33512，當接收到特定魔術值(0xDEADBEEF)時啟動。
• oemd - 被動後門，偽裝成合法的'oamd'程序。綁定特定網路接口而非固定埠口，使用AES加密與C2伺服器通信。
• lmpad - 實用工具兼被動後門，偽裝成合法的'lmpd'程序。主要用於在攻擊前關閉日誌和安全監控，修改Juniper的SNMP和管理守護程序以防止檢測。

每個後門程式都使用不同的C2通信方式，並使用單獨的硬編碼C2伺服器地址集，以確保隱蔽性和持久性。

影響範圍

Mandiant首席技術官Charles Carmakal表示，目前確認的受害組織不到10個，但我們預期在公布調查結果後，將會有更多組織發現自己同樣遭到這種技術入侵。識別受感染設備的數量非常具有挑戰性，主要是因為這類路由設備不支援端點偵測與回應(EDR)解決方案，因此必須在每個系統及客戶環境中進行更繁瑣的手動檢查程序。

受影響的路由器包含使用以下Junos OS版本的設備：

• 所有21.2R3-S9之前的版本
• 21.4R3-S10之前的21.4版本
• 22.2R3-S6之前的22.2版本
• 22.4R3-S6之前的22.4版本
• 23.2R2-S3之前的23.2版本
• 23.4R2-S4之前的23.4版本
• 24.2R1-S2, 24.2R2之前的24.2版本

路由器和其他網路設備是現代IT基礎設施的骨幹，指導流量並連接組織的系統。與筆記型電腦或伺服器不同，這些設備通常缺乏適當的安全監控工具，使其成為攻擊者的理想目標。一旦路由器被攻擊者控制，就可能成為整個網路的入口，允許駭客監視通信、竊取數據或發起進一步攻擊。

相關文章：Juniper路由器遭Mirai殭屍網路攻擊，預設密碼成最大破口

減緩措施與建議

Juniper Networks於3月12日發布安全公告，針對CVE-2025-21590漏洞提供了修補程式。該漏洞被描述為Junos OS內核中的「不當隔離或分區漏洞」，如果被利用，可能允許特權攻擊者入侵設備。

Mandiant和Juniper Networks共同提出以下緩解措施：

• 升級設備：將生命週期終點的Juniper硬體和軟體替換為受支援的版本。Juniper已發布包含修復和改進檢測功能的更新軟體映像。
• 執行安全掃描：升級後使用Juniper的惡意軟體移除工具(JMRT)執行快速掃描和完整性檢查，以識別和移除任何惡意程式。
• 監控和加固網路：通過限制訪問、使用強大的身份驗證和定期檢查日誌中的異常活動來加強網路設備周圍的安全性。
• 統一身份認證管理：使用集中式身份與訪問管理(IAM)系統，並為所有網路設備強制執行多因素認證(MFA)。
• 保持警覺：持續關注來自Juniper等供應商的安全建議和來自Mandiant等網路安全公司的報告，以了解新興威脅。

對於無法立即升級的組織，Juniper還在公告中提供了緩解建議和其Juniper惡意軟體移除工具(JMRT)的更新簽名。

UNC3886背景與趨勢

UNC3886是一個知名的駭客組織，有使用零日漏洞入侵虛擬化平台和邊緣網路設備的歷史。2023年，該組織利用Fortinet零日漏洞(CVE-2022-41328)部署自定義後門攻擊政府組織。同年晚些時候，該威脅組織利用VMware ESXi零日漏洞入侵ESXi主機。

Mandiant研究人員指出，UNC3886之前專注於網路邊緣設備的操作，但此次活動表明他們也在針對內部網路基礎設施，如ISP路由器。研究人員沒有發現UNC3886活動與去年同樣針對美國的其他中國支持的駭客組織如Volt Typhoon或Salt Typhoon攻擊之間的技術重疊。

這些發現突顯出中國國家支持的駭客組織正持續針對美國的網路基礎設施發動攻擊。研究人員警告，路由設備的入侵是間諜動機對手策略的最新趨勢，因為它提供了長期、高層次接觸關鍵路由基礎設施的能力，有可能在未來採取更具破壞性的行動。保護這些關鍵系統需要共同努力，以確保網際網路的持續穩定和安全。

延伸閱讀：中國APT組織持續竊取日本機密 專家：恐為未來衝突預作準備