Mandiantは中国系スパイグループ「UNC3886」によるサポート終了しているJuniper Networksのルーター(Junos OS搭載)を標的とした高度なサイバー攻撃活動を発見しました。
目次
UNC3886 とは
中国に関連するサイバー・スパイグループで米国とアジアの防衛やテクノロジー、通信組織へサイバー攻撃や不正アクセスを行い情報窃取をしています。
スパイ活動という関係上、検出リスクを最小限に抑えステルス性を重視した長期的な侵入を維持します。
その為、高度なシステムの知識やハッキングにかんする技術力を保持しているとされています。
一方で他の中国系サイバー攻撃グループのVolt Typhoon やSalt Typhoon とは技術的な重複は見られないとしています。
主な攻撃手法と脆弱性
UNC3886は、Juniperルーターに対して、CVE-2025-21590という脆弱性を悪用し、プロセスインジェクションによってセキュリティ機能「Veriexec」を回避。不正コードを正規プロセスに注入し、バックドアの設置と長期的なシステム侵入を実現していました。
Veriexecの回避とプロセスインジェクション
JuniperのJunos OSには、システムの整合性を保護するためのVeriexecサブシステムが実装されています。通常、Veriexecは不正なコードの実行を防ぎますが、UNC3886はこれをプロセスインジェクションという手法で回避しました。
- 攻撃者は、正規のプロセスメモリに悪意あるコードを注入することで、Veriexecの保護をすり抜け、バックドアを実行。
- 特に
ddコマンドを利用し、/proc/<pid>/memを操作して不正コードを書き込み、正規プロセスの動作を乗っ取りました。
バックドアの隠蔽と持続性確保
- 攻撃の初期段階で、UNC3886はログ記録を無効化し、証拠隠滅を徹底。
- 操作中にログが残らないようにし、作業完了後に元に戻す自動化スクリプトを活用。
カスタムマルウェアの展開と管理
- 攻撃者は、
Base64でエンコードした悪意あるファイルをルーター上に展開し、gunzipやtarで解凍。 - バックドア実行のため、シェルコードローダー(
loader.bin)を利用して、メモリ内に直接コードを注入。 - 攻撃が完了すると、証拠となるファイルを削除し、痕跡を完全に消去。
バックドアについて
Mandiantの調査によると、6つの異なる「TINYSHELL」ベースのマルウェアが発見されました。これらはそれぞれ、バックドアとして機能し、Junos OSの正規プロセスを模倣することで検出を回避しています。
| マルウェア名 | 特徴 |
| appid |
アクティブ型バックドア。C2通信により命令を受信。
|
| to |
appidと類似のアクティブ型バックドア。異なるC2サーバーを使用。
|
| irad |
パッシブ型バックドア。特定のICMPパケットをトリガーとして通信を開始。
|
| lmpad |
システムログの無効化とバックアップを実行するユーティリティ型バックドア。
|
| jdosd |
UDPベースのパッシブ型バックドア。ファイル転送とリモートシェル機能を持つ。
|
| oemd |
ネットワークインターフェースを指定して通信を行うパッシブ型バックドア。
|
関連記事
悪意のあるGoパッケージがLinuxおよびmacOSを標的としたマルウェアローダーを配布
JPCERTがVolt Typhoonの攻撃キャンペーン「Operation Blotless」に関して注意喚起
コンテック・メディカル・システムズが提供するContec CMS8000の患者モニターにバックドア機能が存在
中国のAPTグループ ソルト タイフーンが米大手プロバイダーへ侵入し盗聴や不正アクセス
ロシアがウクライナ軍の新兵へAndroidとWindowsのマルウェアを活用しサイバー攻撃
ソルト タイフーンの不正アクセスで米政府はAT&T、ベライゾン、ルーメンへ聴取
ホワイトハウス、中国のサイバー・スパイ活動「ソルト・タイフーン」を非難:高位政治家を標的
Volt TyphoonがVersa Director のゼロデイ脆弱性を悪用し不正アクセス
中国のAPTグループ ソルトタイフーンにより米国政府関係者の「プライベート通信」が侵害される