Вредоносная кампания была нацелена на периферийные устройства Juniper, многие из которых используются как VPN-шлюзы. В рамках атаки применялось вредоносное ПО под названием J-Magic, которое активирует обратную оболочку только при обнаружении "магического пакета" в сетевом трафике.
J-Magic ориентирован на организации из различных отраслей: полупроводниковую, энергетическую, производственную (включая судостроение, солнечные батареи и тяжёлую технику).
По данным исследователей Black Lotus Labs (подразделение исследований и операций компании Lumen), кампания J-Magic была активна с середины 2013 года до как минимум середины 2014 года. Она была организована таким образом, чтобы обеспечить минимальное обнаружение и долгосрочный доступ к устройствам.
Согласно собранной телеметрии, около половины целевых устройств были настроены как VPN-шлюзы для организаций.
Подобно CD00R, J-Magic анализирует трафик TCP в поисках пакетов с определёнными характеристиками — «магических пакетов», отправляемых злоумышленниками. Это достигается за счёт создания фильтра eBPF на указанном интерфейсе и порте при запуске.
J-Magic использует фильтр eBPF для поиска магических пакетов в сетевом трафике.
Исследователи отмечают, что вредоносное ПО проверяет различные поля и смещения пакетов, чтобы определить, соответствует ли он заданным условиям. Если пакет удовлетворяет хотя бы одному из пяти критериев, активируется обратная оболочка. Однако злоумышленник должен пройти проверку, чтобы получить доступ к скомпрометированному устройству.
Несмотря на схожесть с вредоносным ПО Seaspy, также основанным на концепции CD00R, различия в реализации затрудняют установление связи между этими кампаниями. Например, вредоносное ПО J-Magic использует сертификат для дополнительной проверки, предоставляющий доступ к оболочке.
Исследователи утверждают, что корреляция J-Magic и Seaspy маловероятна.
Вредоносное ПО Seaspy ранее использовалось для атак на шлюзы безопасности электронной почты Barracuda через уязвимость нулевого дня CVE-2023-2868. Эта активность связана с китайской хакерской группировкой UNC4841, нацеленной на почтовые серверы правительственных учреждений США.
Кампания J-Magic демонстрирует растущую тенденцию использования вредоносного ПО, ориентированного на корпоративные маршрутизаторы. Такие устройства редко перезагружаются, вредоносное ПО остаётся в оперативной памяти, а мониторинг на них практически отсутствует, что позволяет злоумышленникам действовать незаметно в течение долгого времени.
Источник
J-Magic ориентирован на организации из различных отраслей: полупроводниковую, энергетическую, производственную (включая судостроение, солнечные батареи и тяжёлую технику).
Защита от вызова обратной оболочки
J-Magic представляет собой модифицированный вариант общедоступной концепции закладок CD00R, который работает скрытно.По данным исследователей Black Lotus Labs (подразделение исследований и операций компании Lumen), кампания J-Magic была активна с середины 2013 года до как минимум середины 2014 года. Она была организована таким образом, чтобы обеспечить минимальное обнаружение и долгосрочный доступ к устройствам.
Согласно собранной телеметрии, около половины целевых устройств были настроены как VPN-шлюзы для организаций.
Подобно CD00R, J-Magic анализирует трафик TCP в поисках пакетов с определёнными характеристиками — «магических пакетов», отправляемых злоумышленниками. Это достигается за счёт создания фильтра eBPF на указанном интерфейсе и порте при запуске.
Настройка фильтра eBPF в J-Magic
J-Magic использует фильтр eBPF для поиска магических пакетов в сетевом трафике.
Исследователи отмечают, что вредоносное ПО проверяет различные поля и смещения пакетов, чтобы определить, соответствует ли он заданным условиям. Если пакет удовлетворяет хотя бы одному из пяти критериев, активируется обратная оболочка. Однако злоумышленник должен пройти проверку, чтобы получить доступ к скомпрометированному устройству.
Механизм работы J-Magic
Удалённый IP-адрес получает случайную пятизначную буквенно-цифровую строку, зашифрованную с использованием жёстко запрограммированного открытого ключа RSA. Если ответ не совпадает с исходной строкой, соединение закрывается.Несмотря на схожесть с вредоносным ПО Seaspy, также основанным на концепции CD00R, различия в реализации затрудняют установление связи между этими кампаниями. Например, вредоносное ПО J-Magic использует сертификат для дополнительной проверки, предоставляющий доступ к оболочке.
Исследователи утверждают, что корреляция J-Magic и Seaspy маловероятна.
Текущие тренды
Вредоносное ПО Seaspy ранее использовалось для атак на шлюзы безопасности электронной почты Barracuda через уязвимость нулевого дня CVE-2023-2868. Эта активность связана с китайской хакерской группировкой UNC4841, нацеленной на почтовые серверы правительственных учреждений США.
Кампания J-Magic демонстрирует растущую тенденцию использования вредоносного ПО, ориентированного на корпоративные маршрутизаторы. Такие устройства редко перезагружаются, вредоносное ПО остаётся в оперативной памяти, а мониторинг на них практически отсутствует, что позволяет злоумышленникам действовать незаметно в течение долгого времени.
Источник
