Эксперты по кибербезопасности из Black Lotus Labs, входящей в состав Lumen Technologies, обнаружили новую изощренную кампанию кибершпионажа под кодовым названием J-magic. Эта кампания нацелена на корпоративные маршрутизаторы Juniper Networks и использует для проникновения уязвимость, связанную с так называемым «магическим пакетом».
Название J-magic было дано исследователями Black Lotus Labs из-за того, что обнаруженный бэкдор активируется при обнаружении определенного «магического пакета» в TCP-трафике, направленном на маршрутизатор. Целью злоумышленников стали корпоративные маршрутизаторы Juniper Networks, широко используемые в крупных организациях.
Открытие и подробный анализ кампании J-magic были проведены командой Black Lotus Labs. Информацией об этой угрозе специалисты поделились с изданием The Hacker News, чтобы предупредить сообщество о возникшей опасности.
В ходе исследования было установлено, что J-magic представляет собой специально разработанный бэкдор, адаптированный для операционной системы JunoOS. JunoOS, используемая в маршрутизаторах Juniper, является вариантом FreeBSD, что указывает на глубокое понимание злоумышленниками архитектуры целевых устройств.
Первый образец вредоносного кода J-magic был зафиксирован в сентябре 2023 года. Активная фаза кампании, по данным экспертов, продолжается с середины 2023 года по середину 2024 года и, вероятно, все еще не завершена.
Секторы, подвергшиеся атакам J-magic, включают в себя критически важные отрасли: полупроводниковую промышленность, энергетику, производство и информационные технологии (IT). Такой выбор целей говорит о стремлении злоумышленников к получению доступа к ценной информации и инфраструктуре.
География распространения заражений охватывает Европу, Азию и Южную Америку. Среди конкретных стран, где были выявлены инциденты, упоминаются Аргентина, Армения, Бразилия, Чили, Колумбия, Индонезия, Нидерланды, Норвегия, Перу, Великобритания, США и Венесуэла. Широкое географическое покрытие подчеркивает глобальный масштаб угрозы.
На данный момент метод первоначального проникновения в системы остается неустановленным. Однако известно, что бэкдор J-magic является вариантом публично доступного бэкдора cd00r. Для активации и начала работы вредоносное ПО ожидает получения пяти различных предопределенных параметров.
Функциональность бэкдора J-magic предоставляет злоумышленникам широкий спектр возможностей, включая полный контроль над зараженным устройством, кражу конфиденциальных данных и развертывание дополнительных вредоносных нагрузок.
Использование предопределенных параметров в механизме активации, вероятно, служит своеобразным «челлендж-механизмом», затрудняющим несанкционированное использование или перепрофилирование бэкдора другими злоумышленниками.
Интересно отметить, что существует еще одна вариация бэкдора cd00r под названием SEASPY. SEASPY был использован в кампании, нацеленной на устройства Barracuda Email Security Gateway (ESG) в конце 2022 года. Несмотря на схожесть происхождения бэкдоров, на данный момент нет свидетельств, связывающих кампании J-magic и SEASPY.
Эксперты также отмечают, что кампания J-magic не имеет пересечений с другими известными кампаниями, нацеленными на корпоративные маршрутизаторы, такими как Jaguar Tooth и BlackTech (также известная как Canary Typhoon). Это указывает на то, что J-magic представляет собой отдельную и уникальную угрозу.
Большинство IP-адресов, подвергшихся воздействию J-magic, принадлежат маршрутизаторам Juniper, функционирующим в качестве VPN-шлюзов. Меньшая часть зараженных устройств связана с маршрутизаторами, имеющими открытый порт NETCONF. Порт NETCONF привлекает злоумышленников из-за его функциональности, позволяющей автоматизировать сбор информации о конфигурации маршрутизатора и управление им.
Кампания J-magic подчеркивает тревожную тенденцию расширения фокуса кибератак на корпоративные маршрутизаторы. Успешное нацеливание на данный тип устройств, выходящий за рамки традиционного сетевого оборудования, демонстрирует растущую изощренность и настойчивость киберпреступников в стремлении проникнуть в защищенные корпоративные сети.
Изображение носит иллюстративный характер
Название J-magic было дано исследователями Black Lotus Labs из-за того, что обнаруженный бэкдор активируется при обнаружении определенного «магического пакета» в TCP-трафике, направленном на маршрутизатор. Целью злоумышленников стали корпоративные маршрутизаторы Juniper Networks, широко используемые в крупных организациях.
Открытие и подробный анализ кампании J-magic были проведены командой Black Lotus Labs. Информацией об этой угрозе специалисты поделились с изданием The Hacker News, чтобы предупредить сообщество о возникшей опасности.
В ходе исследования было установлено, что J-magic представляет собой специально разработанный бэкдор, адаптированный для операционной системы JunoOS. JunoOS, используемая в маршрутизаторах Juniper, является вариантом FreeBSD, что указывает на глубокое понимание злоумышленниками архитектуры целевых устройств.
Первый образец вредоносного кода J-magic был зафиксирован в сентябре 2023 года. Активная фаза кампании, по данным экспертов, продолжается с середины 2023 года по середину 2024 года и, вероятно, все еще не завершена.
Секторы, подвергшиеся атакам J-magic, включают в себя критически важные отрасли: полупроводниковую промышленность, энергетику, производство и информационные технологии (IT). Такой выбор целей говорит о стремлении злоумышленников к получению доступа к ценной информации и инфраструктуре.
География распространения заражений охватывает Европу, Азию и Южную Америку. Среди конкретных стран, где были выявлены инциденты, упоминаются Аргентина, Армения, Бразилия, Чили, Колумбия, Индонезия, Нидерланды, Норвегия, Перу, Великобритания, США и Венесуэла. Широкое географическое покрытие подчеркивает глобальный масштаб угрозы.
На данный момент метод первоначального проникновения в системы остается неустановленным. Однако известно, что бэкдор J-magic является вариантом публично доступного бэкдора cd00r. Для активации и начала работы вредоносное ПО ожидает получения пяти различных предопределенных параметров.
Функциональность бэкдора J-magic предоставляет злоумышленникам широкий спектр возможностей, включая полный контроль над зараженным устройством, кражу конфиденциальных данных и развертывание дополнительных вредоносных нагрузок.
Использование предопределенных параметров в механизме активации, вероятно, служит своеобразным «челлендж-механизмом», затрудняющим несанкционированное использование или перепрофилирование бэкдора другими злоумышленниками.
Интересно отметить, что существует еще одна вариация бэкдора cd00r под названием SEASPY. SEASPY был использован в кампании, нацеленной на устройства Barracuda Email Security Gateway (ESG) в конце 2022 года. Несмотря на схожесть происхождения бэкдоров, на данный момент нет свидетельств, связывающих кампании J-magic и SEASPY.
Эксперты также отмечают, что кампания J-magic не имеет пересечений с другими известными кампаниями, нацеленными на корпоративные маршрутизаторы, такими как Jaguar Tooth и BlackTech (также известная как Canary Typhoon). Это указывает на то, что J-magic представляет собой отдельную и уникальную угрозу.
Большинство IP-адресов, подвергшихся воздействию J-magic, принадлежат маршрутизаторам Juniper, функционирующим в качестве VPN-шлюзов. Меньшая часть зараженных устройств связана с маршрутизаторами, имеющими открытый порт NETCONF. Порт NETCONF привлекает злоумышленников из-за его функциональности, позволяющей автоматизировать сбор информации о конфигурации маршрутизатора и управление им.
Кампания J-magic подчеркивает тревожную тенденцию расширения фокуса кибератак на корпоративные маршрутизаторы. Успешное нацеливание на данный тип устройств, выходящий за рамки традиционного сетевого оборудования, демонстрирует растущую изощренность и настойчивость киберпреступников в стремлении проникнуть в защищенные корпоративные сети.
