Tajna kampanja napada pretvorila je Juniper usmjerivače korporativnog nivoa u ulazne tačke u korporativne mreže preko “J-magic” backdoor-a, koji se učitava u memoriju uređaja i stvara obrnutu školjku kada se to dobije.
“Naša telemetrija pokazuje da je J-magic kampanja bila aktivna od sredine 2023. do barem sredine 2024.; u to vreme smo, između ostalog, posmatrali ciljeve u poluvodičkoj, energetskoj, proizvodnoj i IT vertikali“, rekli su istraživači Lumenovog tima Black Lotus Labs.
Malicioznog softver J-magic
Istraživači su pronašli uzorak J-magica nakon što je postavljen na VirusTotal u septembru 2023. i krenuli da ga analiziraju.
“Kada se datoteka učita na zaraženi ruter, očekuje da će se interfejsi port obezbijediti iz komandne linije kada se izvrši. Ako se ovo dostavi, maliciozni softver će se preimenovati u “[nfsiod 0]” kako bi se maskirao kao lokalni NFS asinhroni I/O server, a zatim će sakriti svoje tragove prepisivanjem prethodnih argumenata komandne linije”, otkrili su istraživači.
Zatim pokreće prisluškivač za hvatanje paketa (PCAP) kroz eBPF ekstenziju i čeka da napadač pošalje “magični paket” koji će ga potaknuti da kreira obrnutu shell na specifičnu IP adresu i port, otvarajući tako backdoor dostupnom sa napadačev server.
Paket za pokretanje ispunjava pet specifičnih “uvjeta” koje je postavio programer malicioznog softvera, ali obrnuta ljuska će se kreirati samo ako napadač može ispravno odgovoriti na izazov. Izazov je nasumični alfanumerički niz od pet znakova šifriran korištenjem tvrdo kodiranog javnog RSA ključa. Tačan odgovor je dešifrovani niz.
Ako se dva broja ne podudaraju, veza se prekida. Ako to učine, udaljena shell je kreirana i spremna je da prihvati komande.
“Sumnjamo da je programer dodao ovaj RSA izazov kako bi spriječio druge hakere da iskoriste internet magičnim paketima kako bi napali žrtve, a zatim jednostavno prenamijenili J-Magic agente za svoje potrebe, kao što su drugi hakeri nacionalnih država poznati po tome što izlažu te parazitske trgovačke zanate kao što je Turla”, tvrde istraživači.
“Magic packet” malver je u porastu
Maliciozni agent, otkrili su, je prilagođena varijanta cd00r, koji je stari open-source projekat koji je nastojao stvoriti skrivena backdoor s dokazom koncepta.
Cd00r su godinama koristili različiti napadači za kreiranje varijanti, posebno SEASPY backdoor korišćen za kompromitovanje uređaja Barracuda Networks Security Gateway (ESG) u maju 2023.
Ti napadači su iskoristili ranjivost zero-day kako bi izbacili taj i drugi maliciozni softver , ali, nažalost, istraživači Lumena nisu uspjeli otkriti kako su napadači dobili početni pristup ciljanim Junos OS-powered Juniper uređajima kako bi izbacili J-magic.
“Vjerujemo da ruteri poslovnog ranga predstavljaju atraktivnu metu jer obično nemaju mnogo, ako ih uopšte ima, alata za praćenje zasnovanih na hostu,” napomenuli su istraživači.
„Uobičajeno, ovi uređaji se rijetko uključuju na struju; Malver napravljen za rutere je dizajnisan da iskoristi prednost dugog vremena rada i živi isključivo u memoriji, omogućavajući nisku detekciju i dugoročan pristup u poređenju sa malverom koji se uvlači u firmver. Ruteri na rubu korporativne mreže ili koji služe kao VPN gateway, kao što su mnogi učinili u ovoj kampanji, najbogatije su mete. Ovaj položaj predstavlja raskrsnicu, koja otvara puteve ostatku korporativne mreže.”
Lumenovi istraživači nisu bili u mogućnosti da konačno povežu SEASPY i J-magic malver sa istim napadačima (ili drugima).
“Smatramo vrijednim pažnje da maliciozni softver Magic Packet postaje sve veći trend u upotrebi protiv perimetarskih uređaja, prvo s BPFdoor-om i Symbioteom . Sumnjamo da će se to samo povećati, jer veće poteškoće u otkrivanju stvaraju više problema za securty, a ono što prijavljivanje postoji isključivo je rezultat veće svijesti oko ove tehnike”, zaključili su.
Izvor:Help Net Security
