複数ライセンス割引見積
脅威データベース マルウェア UNC3886 サイバースパイグループ

UNC3886 サイバースパイグループ

マルウェア, バックドアMezoまで
翻訳内容:
日本語

中国と関係のあるサイバースパイ組織 UNC3886 は、カスタムバックドアを展開するために、サポートが終了した MX ルーターを積極的にターゲットにしています。この攻撃は、アクティブ機能とパッシブ機能の両方を備えたバックドアを利用して、内部ネットワークインフラストラクチャに侵入する能力を強調しています。一部の亜種には、ログ記録メカニズムをオフにするように設計された埋め込みスクリプトも含まれており、攻撃者は検出されずに操作できます。

進化する脅威グループ

UNC3886 は、Fortinet、Ivanti、VMware デバイスのゼロデイ脆弱性を利用してネットワークに侵入し、長期的な持続性を確立してきた実績があります。この最新の攻撃は、セキュリティ監視が不足していることが多いネットワーク ハードウェアに重点を置いた、同攻撃の手法の進化を表しています。

UNC3886 は、2022 年 9 月に初めて活動が記録されて以来、米国とアジアの防衛、テクノロジー、通信分野を狙って、エッジ デバイスと仮想化テクノロジーを標的とする高い能力を発揮してきました。

ルーティングデバイスが必要な理由

スパイ活動に駆り立てられた敵は、最近、ルーティング デバイスを侵害する方向にシフトしています。重要なインフラストラクチャを制御することで、攻撃者は長期間アクセスを維持できるだけでなく、将来的に破壊的な活動を行う可能性もあります。

TinyShell 接続: 選択の武器

2024年半ばに検出された最新の活動には、Liminal PandaやVelvet Antなどの中国のハッカー集団が好む軽量のCベースのバックドアであるTinyShellに基づくインプラントが含まれています。TinyShellはオープンソースであるため、カスタマイズが容易である一方で帰属が複雑になるという実用的な選択肢となっています。

セキュリティ研究者は、TinyShell をベースにした 6 つの異なるバックドアを特定しました。それぞれに独自の機能があります。

  • appid (A Poorly Plagiarized Implant Daemon) – ファイル転送、対話型シェル、SOCKS プロキシ、および C2 構成の変更を提供します。
  • to (TooObvious) – appid に似ていますが、ハードコードされた C2 サーバーが異なります。
  • irad (インターネット リモート アクセス デーモン) – ICMP パケットを介したパケット スニッフィングを使用してパッシブ バックドアとして機能します。
  • lmpad (ローカル メモリ パッチ攻撃デーモン) – プロセス インジェクションを使用してログ記録を回避します。
  • jdosd (Junos Denial of Service Daemon) – リモート シェル機能を備えた UDP バックドア。
  • oemd (Obscure Enigmatic Malware Daemon) – TCP を使用して C2 サーバーと通信するパッシブ バックドア。

Junos OSのセキュリティ保護の回避

攻撃者は、不正なコード実行を防止するために設計された Junos OS の Verified Exec (veriexec) 保護を無視してマルウェアを実行する方法を開発しました。ターミナル サーバー経由で特権アクセスを取得することで、正当なプロセスに悪意のあるペイロードを挿入し、検出を回避しながら永続性を確保します。

攻撃ツールのさらなる増加

TinyShell バックドアの他に、UNC3886 は追加のツールを展開します。

  • Reptile & Medusa – ステルス的な持続性を実現するルートキット。
  • PITHOOK – SSH 認証をハイジャックし、資格情報を取得するために使用されます。
  • GHOSTTOWN – 反フォレンジック目的で設計されています。

Juniper デバイスを使用している組織は、これらの脅威を軽減するために、最新のファームウェア バージョンに更新することを強くお勧めします。

別の攻撃、別の脅威アクター?

興味深いことに、J-Magic と呼ばれる別の攻撃では、cd00r と呼ばれるバックドアの亜種を使用して、エンタープライズ グレードの Juniper ルーターが標的にされています。ただし、この攻撃は中国と関係のある別のグループ UNC4841 によるもので、サポート終了した Juniper ルーターを標的にした UNC3886 との関連は不明です。

CVE-2025-21590 を悪用して永続化

Juniper Networks は、最近の感染で少なくとも 1 つの脆弱性 (CVE-2025-21590 (CVSS v4 スコア: 6.7)) が悪用されたことを確認しました。Junos OS カーネルで見つかったこの欠陥により、高い権限を持つ攻撃者が任意のコードを挿入できるようになり、最終的にデバイスの整合性が損なわれる可能性があります。

Junos OS バージョン 21.2R3-S9、21.4R3-S10、22.2R3-S6、22.4R3-S6、23.2R2-S3、23.4R2-S4、24.2R1-S2、24.2R2、および 24.4R1 でパッチがリリースされています。組織は、これらの更新バージョンを実行していることを確認する必要があります。

UNC3886: ステルスと粘り強さの達人

UNC3886 の高度なシステム内部に関する専門知識は、パッシブ バックドア、ログ改ざん、フォレンジック回避の戦略的な使用に表れています。その主な目的は、検出リスクを最小限に抑えながら長期的な持続性を維持することであり、これは継続的で重大なサイバーセキュリティの課題となっています。

 

トレンド

Omega Ad Blocker

望ましくない可能性のあるプログラム, アドウェア
侵入的で信頼できないソフトウェアからデバイスを保護することは、オンライン セキュリティの重要な側面です。便利なツールとして宣伝されている多くのプログラムには、ユーザーのプライバシーを侵害し、ブラウジング体験を妨害する隠れた機能が付属していることがよくあります。Omega Ad Blocker はその一例です。これは、広告をブロックすると謳っていますが、アドウェアに関連する動作を示すブラウザー...

アルモリスティックスアプリ

望ましくない可能性のあるプログラム, トロイの木馬
Almoristics は、クリプトジャッキング活動に関連する侵入型アプリケーションです。これは正規のシステム プロセスではなく、感染したデバイスの処理能力をハイジャックして、その操作者のために暗号通貨を採掘するように設計されたプログラムです。アクティブになると、CPU と RAM のリソースを大量に消費し、システムの速度低下、過剰なエネルギー消費、過熱によるハードウェアの劣化を引き起こしま...

Koaiw アプリ

望ましくない可能性のあるプログラム, アドウェア, マルウェア
潜在的に不審なプログラム (PUP) は、一見すると必ずしも有害であるとは限りませんが、デバイスのパフォーマンス、セキュリティ、プライバシーを危険にさらすリスクをもたらすことがよくあります。これらの侵入型アプリケーションは、多くの場合、誤解を招くようなふりをして動作し、価値のある機能を提供すると主張しながら、バックグラウンドで破壊的または有害なアクティビティを実行します。Koaiw アプリは...

最も見られました

Discord 灰色の画面で立ち往生

問題
71,061
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...

「プリンタドライバが利用できません」エラーを修正する方法

問題
63,474
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
59,041
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...