HackerNews 编译,转载请注明出处:
一场专门针对Juniper边缘设备的恶意攻击活动正在肆虐,这些设备中许多都充当着VPN网关的角色。该恶意软件被命名为J-magic,它仅在检测到网络流量中的“魔术数据包”时才会启动反向shell。
J-magic攻击似乎针对的是半导体、能源、制造业(包括海事、太阳能电池板、重型机械)以及IT行业的组织。
J-magic恶意软件是公开可用的cd00r后门的一个定制变种。cd00r是一个概念验证工具,它在开启与攻击者的通信通道前,会保持静默并被动地监视网络流量,寻找特定的数据包。
据Lumen旗下威胁研究与运营部门Black Lotus Labs的研究人员称,J-magic攻击活动始于2023年中,并至少持续到2024年中,其目的是为了“低检测率和长期访问”。
根据可用的遥测数据,研究人员表示,约有一半的目标设备似乎被配置为其组织的虚拟专用网络网关。
与cd00r类似,J-magic会监视TCP流量,寻找攻击者发送的具有特定特征的数据包——“魔术数据包”。它通过在执行时指定的接口和端口上创建一个eBPF过滤器来实现这一点。
Black Lotus Labs的研究人员表示,该恶意软件会检查各种字段和偏移量,以寻找来自远程IP地址的正确数据包的线索。
J-magic会检查五个条件,如果数据包满足其中任何一个条件,它就会启动一个反向shell。然而,发送方在获得对受损设备的访问权限之前,必须先解决一个挑战。
J-magic恶意软件的魔术数据包条件(图片来源:Black Lotus Labs)
远程IP会收到一个用硬编码的公共RSA密钥加密的随机五字符字母数字字符串。如果接收到的响应不等于原始字符串,则连接会关闭。
“我们怀疑开发人员添加了RSA挑战,以防止其他威胁行为者通过向互联网发送魔术数据包来枚举受害者,然后简单地重新利用J-Magic代理来实现自己的目的。”——Black Lotus Labs
尽管该活动与同样基于cd00r后门的SeaSpy恶意软件在技术上存在相似之处,但两者之间存在一些差异,使得难以建立联系。
这两种恶意软件会寻找五个不同的魔术条件。此外,J-magic还包含了一个在提供shell访问的第二次验证过程中使用的证书。
研究人员表示,根据这些发现,他们对J-magic与SeaSpy家族之间的关联性“信心不足”。
自2022年10月以来,中国威胁行为者利用CVE-2023-2868作为零日漏洞,在Barracuda电子邮件安全网关上植入了SeaSpy后门。
Mandiant内部追踪的UNC4841威胁行为者,攻破了美国政府机构的电子邮件服务器。
Black Lotus Labs的研究人员认为,针对Juniper路由器的J-magic攻击活动表明,使用这种类型的恶意软件正越来越成为一种趋势。通过针对企业级路由器使用“魔术数据包”恶意软件,威胁行为者可以在更长的时间内保持不被发现,因为这些设备很少进行电源循环,恶意软件驻留在内存中,并且这些设备通常缺乏基于主机的监控工具。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
