Команда Black Lotus Labs из компании Lumen Technologies обнаружила атаку с использованием бэкдора, нацеленную на корпоративные маршрутизаторы Juniper.
Описание
Эта атака, известная как J-magic, осуществляется с помощью пассивного агента, который отслеживает «магический пакет» в TCP-трафике. Атака была создана недавно и впервые обнаружена в сентябре 2023 года. Первоначальный способ получения доступа в настоящее время неизвестен, но после установки агента он сканирует определенные параметры и создает обратную оболочку в файловой системе устройства, позволяя злоумышленникам получить контроль, украсть данные или установить вредоносное ПО.
Маршрутизаторы корпоративного уровня являются привлекательными целями, поскольку на них обычно отсутствуют средства мониторинга на хосте и они имеют длительное время безотказной работы, что затрудняет обнаружение вредоносных программ, внедряемых в прошивку. Маршрутизаторы, расположенные на границе корпоративных сетей или функционирующие в качестве VPN-шлюзов, особенно уязвимы, поскольку они обеспечивают доступ к остальным частям сети. Кампания J-magic, активная с середины 2023 по середину 2024 года, была направлена на такие отрасли, как полупроводники, энергетика, производство и ИТ.
Есть сходство между J-magic и предыдущим семейством вредоносных программ, SeaSpy2, которое было нацелено на другую систему на базе FreeBSD - почтовый сервер Barracuda. В обеих кампаниях используется вариант cd00r, но J-magic демонстрирует эволюцию в области операционной безопасности и мастерства, поскольку включает встроенный сертификат, представляющий собой «вызов». Несмотря на другие заметные инциденты с кластерами, Black Lotus Labs считает, что J-magic не имеет к ним отношения.
Данные телеметрии показывают, что около 50 % атакованных устройств были настроены как VPN-шлюзы. Злоумышленники используют вредоносные программы с открытым исходным кодом после получения доступа к устройствам, и J-magic следует этой тенденции, являясь пользовательским вариантом cd00r. Первоначально выпущенный в 2000 году, cd00r был разработан как «невидимый» бэкдор, чтобы избежать обнаружения системными администраторами и сетевыми инженерами. Он запускает агента через аргумент командной строки, использует расширение eBPF для запуска приемника pcap и устанавливает обратную оболочку при обнаружении пакета magic. Затем удаленная оболочка отправляет строку вызова, зашифрованную с помощью жестко закодированного сертификата.
В целом кампания J-magic подчеркивает уязвимость корпоративных маршрутизаторов, особенно тех, которые служат в качестве VPN-шлюзов. Использование вредоносных программ с открытым исходным кодом и эволюция в области операционной безопасности демонстрируют изощренность злоумышленников. Организациям крайне важно внедрять надежные меры безопасности и средства мониторинга для защиты от подобных угроз.
Indicators of Compromise
IPv4
- 198.46.158.172
SHA1
7edc911b31b4f5dc401725c9b52e876a9fd00f3e
SHA256
- 3f26a13f023ad0dcd7f2aa4e7771bba74910ee227b4b36ff72edc5f07336f115
- 5e3c128749f7ae4616a4620e0b53c0e5381724a790bba8314acb502ce7334df2
- 957c0c135b50d1c209840ec7ead60912a5ccefd2873bf5722cb85354cea4eb37
