Незаметная атака превратила маршрутизаторы Juniper корпоративного класса в точки проникновения в корпоративные сети с помощью бэкдора «J-magic», который загружается в память устройств и по команде запускает обратную оболочку.
«Наша телеметрия показывает, что кампания J-magic была активна с середины 2023 года по крайней мере до середины 2024 года; за это время мы наблюдали цели в полупроводниковой, энергетической, производственной и ИТ-версиях, среди прочих»
- поделились исследователи из команды Black Lotus Labs компании Lumen
Вредоносная программа J-magic
Исследователи нашли образец J-magic после того, как он был загружен на VirusTotal в сентябре 2023 года, и приступили к его анализу.
«После загрузки файла на зараженный маршрутизатор он ожидает указания интерфейса и порта из командной строки при выполнении. Если они указаны, вредоносная программа переименовывает себя в [nfsiod 0], чтобы замаскироваться под локальный сервер асинхронного ввода-вывода NFS, а затем скрывает свои следы, перезаписывая предыдущие аргументы командной строки»
- обнаружили исследователи
Затем он запускает приемник перехвата пакетов (PCAP) через расширение и ждет, пока злоумышленник отправит «волшебный пакет», который подтолкнет его к созданию обратной оболочки на указанные IP-адрес и порт, открывая тем самым бэкдор, доступный с сервера злоумышленника.
Запускающий пакет отвечает пяти определенным «условиям», установленным разработчиком вредоносной программы, но обратная оболочка будет создана только в том случае, если злоумышленник правильно ответит на вызов. Задача представляет собой случайную буквенно-цифровую строку из пяти символов, зашифрованную с помощью жестко закодированного открытого ключа RSA. Правильный ответ – это расшифрованная строка.
Если эти два числа не совпадают, соединение закрывается. Если совпадают, создается удаленная оболочка, готовая к приему команд.
«Мы подозреваем, что разработчик добавил этот вызов RSA для того, чтобы другие угрожающие субъекты не рассылали в Интернете магические пакеты, а затем просто перепрофилировали агентов J-Magic для своих целей, поскольку другие национальные государственные акторы, такие как Turla, известны своими паразитическими методами работы»
- предполагают исследователи
Вредоносные программы с «волшебными пакетами» набирают обороты
Вредоносный агент, как они обнаружили, является пользовательским вариантом cd00r, который представляет собой старый проект с открытым исходным кодом, целью которого было создание пробного незаметного бэкдора.
В течение многих лет Cd00r использовался различными злоумышленниками для создания различных вариантов, в частности для взлома устройств Email Security Gateway (ESG) компании Barracuda Networks в мае 2023 года.
Для его создания злоумышленники использовали уязвимость нулевого дня, но, к сожалению, исследователям Lumen не удалось выяснить, каким образом злоумышленники получили первоначальный доступ к целевым устройствам Juniper для создания J-magic.
«Мы считаем, что маршрутизаторы корпоративного уровня представляют собой привлекательную мишень, поскольку обычно они не имеют большого количества инструментов мониторинга на базе хоста, если таковые вообще имеются»
- отмечают исследователи
Как правило, эти устройства редко отключают от питания; вредоносные программы, предназначенные для маршрутизаторов, разработаны таким образом, чтобы использовать преимущества длительного времени работы и жить исключительно в памяти, что обеспечивает низкий уровень обнаружения и долгосрочный доступ по сравнению с вредоносными программами, которые проникают в прошивку». Маршрутизаторы, расположенные на границе корпоративной сети или служащие VPN-шлюзом, как многие из них в этой кампании, являются самыми богатыми мишенями. Такое размещение представляет собой перекресток, открывающий путь к остальной части корпоративной сети».
Исследователи Lumen не смогли окончательно связать SEASPY и J-magic с одними и теми же злоумышленниками (или другими).
«Мы считаем примечательным тот факт, что вредоносные программы Magic Packet все чаще используются против устройств периметра, сначала с помощью BPFdoor. Мы подозреваем, что эта тенденция будет только усиливаться, так как повышение сложности обнаружения создает больше проблем для защитников, а существующие отчеты являются исключительно результатом повышения осведомленности об этой технике»
Комментарии (0)