Malware auf nicht aktuell gehaltenen Juniper-Routern

Nach einer Untersuchung, die bis Mitte 2024 zurückreicht, hat Mandiant seine Erkenntnisse über eine verdeckte Spionagekampagne des Akteurs UNC3886 veröffentlicht. Es geht um benutzerspezifische Malware auf nicht aktuell gehaltenen Junos-OS-Routern von Juniper Networks.

Mandiant arbeitete dazu nach eigenen Angaben mit Juniper Networks zusammen, um die Aktivitäten von UNC3886 zu untersuchen, und fand heraus, dass die betroffenen Juniper MX-Router, auf die die Gruppierung abzielte, mit veralteter Hardware und Software arbeiteten.

Die von UNC3886 verwendeten benutzerdefinierten Malware-Samples zeigen, dass der Bedrohungsakteur über ein umfassendes Wissen von weitreichenden Systeminterna verfügt.

Mandiant empfiehlt Unternehmen, ihre Juniper-Geräte auf die neuesten von Juniper Networks veröffentlichten Images zu aktualisieren, um Risiken zu minimieren und um aktualisierte Signaturen für das Juniper Malware Removal Tool (JMRT) zu erhalten. Unternehmen sollten nach dem Upgrade den JMRT Quick Scan und Integrity Check durchführen.

UNC3886 nutzt ein eigenes Malware-Ökosystem. Mandiant fand sechs verschiedene Malware-Varianten, die auf mehreren ausgedienten Juniper MX-Routern eingesetzt werden. Jede dieser Varianten ist eine modifizierte Version der TINYSHELL-Backdoor, die es Angreifern ermöglicht, sich Zugang zu diesen Geräten zu verschaffen und sich länger dort aufzuhalten.

Dazu gehören aktive und passive Hintertüren sowie ein eingebettetes Skript, das die Protokollierungsmechanismen deaktiviert und so die Sicherheitsüberwachungssysteme ausblendet.

Veriexec ist der integrierte Sicherheitsmechanismus von Junos OS. Mandiant hat keine Hinweise auf eine erfolgreiche Ausnutzung und Umgehung von Veriexec-Techniken gefunden, die bereits von Juniper in unterstützter Software und Hardware berücksichtigt wurden.

Abgesehen von der in einem Mandiant-Blog beschriebenen neuartigen Prozessinjektionstechnik deuteten die Infektionen auf den kompromittierten EOL Juniper MX-Routern ebenfalls darauf hin, dass der Bedrohungsakteur erfolgreich ausführbare Hintertüren eingesetzt hat. Der Angreifer verfügt über Root-Zugriff auf die betroffenen Geräte.

Während sich UNC3886 bisher auf Netzwerk-Edge-Geräte konzentrierte, zeige diese jüngste Aktivität, dass die Gruppierung auch auf interne Netzwerkinfrastrukturen wie Router von Internetdienstanbietern abzielt, was im Erfolgsfall erhebliche Auswirkungen haben könnte, so Mandiant weiter.

Mandiant und Juniper Networks empfehlen Unternehmen, ihre Netzwerkgeräte auf aktuelle Versionen mit den neuesten Sicherheits-Patches zu aktualisieren, die Juniper Networks veröffentlich.
 

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema

Das könnte Sie auch interessieren

TP-Links Business-Router-Serie

Omada Pro: Das bietet TP-Links Enterprise-Klasse

Weitere Artikel zu Mandiant

Mandiant: M-Trends Report 2025

Cyberkriminelle auf Beutetour

Wie sich Cybersecurity entwickelt

KI: Werkzeug zum Schutz und zum Angriff

MSSP auf Wachstumskurs

Indevis kooperiert mit Sophos, Pentera und Google/Mandiant

Attribution von Cyberangriffen

Auf Tätersuche

Mehr Widerstandsfähigkeit in und aus der Wolke

Google Cloud: Weitere Sicherheitslösungen

Weitere Artikel zu Juniper Networks

Juniper Networks und Google Cloud

Integrierte Lösung zur Transformation von Unternehmensstandorten

Juniper: GPU und AI as a Service

Einfacher Weg zur Künstlichen Intelligenz

Weitere Switches der EX4000-Serie

Juniper Networks: Switches mit KI-Features

Schutz für das Netzwerk

Juniper integriert Sicherheits- und Netzwerkkonfiguration

Klares Ziel Marktführerschaft

HPE und Juniper formen neuen Netzwerk-Giganten

Weitere Artikel zu Juniper Networks GmbH

Distributionsvertrag für deutschen Markt

Ingram Micro und Juniper Networks weiten Zusammenarbeit aus

Mega-Deal im Netzwerksektor

HPE bestätigt: Kauf von Juniper Networks perfekt

Künstliche Intelligenz

KI im Netzwerkmanagement

Juniper Networks baut AIOps-Angebot aus

ChatGPT-Integration für schnellere Einblicke

Cloud Access Security Broker

Cloud- und Netzwerk-Security stärken

Weitere Artikel zu Switches/Router/Load Balancer

Einführung eines neuen MSP-Konzepts

TP-Link und Api bauen B2B-Vertrieb im Netzwerksegment aus

Fokus IT-Netzwerke, Cybersecurity und KI

Oliver Tuszik wird weltweiter Vertriebschef von Cisco

Mobiler Internetzugang ohne Festnetz

Devolo 5G-Router mit WiFi 6: Internet für unterwegs und zuhause

Drahtlose Netzwerke

D-Link stellt die neue DMS-1250 Smart-Switch-Serie vor

Netzwerklösungen

Neue Devolo Ethernet Switches für mehr Tempo im Heimnetz

Weitere Artikel zu Router

Gestärkt aus der Insolvenz

Devolo steht wieder auf eigenen Beinen

Neue Produkte, Fokussierung im Vertrieb

Lancom Systems stellt die Weichen für die Zukunft

Produkttest Business-Router 2024

Belastbare Kontakte

Lancom: 1803VA-5G und 1800VA-5G

SD-WAN Gateways mit VDSL und 5G-Mobilfunk

AVM startet neues „FRITZ! Labor“

So lässt sich die „FRITZ!Box“ noch leichter einrichten