中國駭客UNC3886對Juniper路由器設備下手,植入後門程式TinyShell變種

從2021年底開始,中國駭客組織UNC3886運用當時尚未揭露的FortiOS、VMware vCenter、VMware Tools零時差漏洞從事攻擊行動,事隔3年才東窗事發,如今傳出這些駭客針對其他廠牌的設備下手,從事新一波的目標式攻擊。

資安業者Mandiant指出,去年中旬UNC3886開始鎖定Juniper Networks的路由器設備,植入以TinyShell為基礎打造的變種後門程式,這些後門具有不同型態,包含主動執行或是被動接收命令的運作模式,有的能利用嵌入式指令碼停用受害裝置的事件記錄功能,使得攻擊者能大幅減少留下來的作案痕跡。

究竟駭客如何對路由器下手?Mandiant指出是利用處理程序注入的手法,突破Juniper網路設備作業系統Junos OS子系統Verified Exec(Veriexec),此為檔案完整性防護機制,主要用途是防止未經授權的程式碼在Junos OS執行。

而對於上述的攻擊手段,已被登記編號為CVE-2025-21590的漏洞,Juniper Networks也發布作業系統更新防堵這項弱點,並指出這項漏洞發生的原因為作業系統核心不當隔離造成,握有特殊權限的本機攻擊者,可透過Shell在受影響設備注入任意程式碼,4.0版CVSS風險為6.7分(3.1版為4.4分)。

針對駭客發動攻擊的過程,Mandiant指出攻擊者事先透過用於管理網路設備的終端機伺服器,取得有效帳密資料,以特殊權限存取路由器,然後從Junos OS的命令列介面(CLI)執行FreeBSD Shell,接著在使用名為Here Document的機制產生經Base64演算法處理的檔案ldb.b64,解密之後變成壓縮檔ldb.tar.gz,從而於路由器植入後門程式。

除此之外,Mandiant指出對於生命週期已經結束(EOL)的MX路由器,駭客透過其他手段,以root權限植入後門程式。

Mandiant一共發現6款後門程式,這些惡意軟體全數由TinyShell衍生,駭客將它們偽裝成Junos OS特定模組,例如:appid、to、irad、lmpad、jdosd、oemd,來掩人耳目。

資料來源:iThome