圈小蛙
一项恶意活动专门针对Juniper网络边缘设备,其中许多设备充当 VPN 网关,恶意软件被称为 J-magic,只有在网络流量中检测到“魔术包”(magic packet)时才会启动反向Shell。
J-magic 攻击似乎针对的是半导体、能源、制造业(海洋、太阳能电池板、重型机械)和 IT 领域的组织。
受挑战保护的反向Shell
J-magic 恶意软件是公开的 cd00r 后门的定制变体——这是一种概念验证,它在打开与攻击者的通信渠道之前保持静默并被动监视特定数据包的网络流量。
根据 Lumen 威胁研究和运营部门 Black Lotus Labs 的研究人员的说法,J-magic 活动在 2023 年中期至至少 2024 年中期期间活跃,旨在实现“低检测度和长期访问”。
根据现有的遥测数据,研究人员表示,大约一半的目标设备似乎配置为其组织的虚拟专用网络网关。
与 cd00r 类似,J-magic 会监视 TCP 流量,寻找攻击者发送的具有特定特征的数据包(即“魔术数据包”)。它通过在执行时在命令行参数指定的接口和端口上创建 eBPF 过滤器来实现这一点。
Black Lotus 实验室的研究人员表示,该恶意软件会检查各种字段和偏移量,以寻找来自远程 IP 地址的正确数据包的线索。
J-magic 会查找五个条件,如果数据包满足其中一个条件,就会生成反向 shell。但是,发送者必须先解决一个问题,才能访问受感染的设备。
远程 IP 收到一个随机的、五个字符的字母数字字符串,该字符串使用硬编码的公共 RSA 密钥加密。如果收到的响应不等于原始字符串,则连接关闭。
“我们怀疑开发人员添加了这个 RSA 挑战,是为了防止其他威胁行为者向互联网发送魔术包来统计受害者,然后简单地将 J-Magic 代理重新用于他们自己的目的” —— Black Lotus Labs
虽然该活动与同样基于 cd00r 后门的 SeaSpy 恶意软件在技术上相似,但一些差异使得很难在这两个活动之间建立联系。
这两个恶意软件会寻找五种不同的魔法条件。此外,J-magic 还包含一个证书,该证书用于提供 shell 访问权限的第二次验证过程。
研究人员表示,基于这些发现,他们“对 J-magic 与 SeaSpy 家族的相关性缺乏信心”。
自 2022 年 10 月以来,中国威胁行为者利用 CVE-2023-2868 作为零日漏洞,随后SeaSpy 后门就被植入 Barracuda 电子邮件安全网关上。
SeaSpy 背后的威胁行为者被 Mandiant 内部追踪为 UNC4841,他入侵了美国政府机构的电子邮件服务器。
黑莲花实验室的研究人员认为,针对Juniper路由器的J-magic攻击活动表明,该类恶意软件的使用正日益成为一种趋势。
通过使用“魔包”恶意软件瞄准企业级路由器,威胁行为者可以在更长的时间内不被发现,因为此类设备很少进行电源循环,恶意软件驻留在内存中,并且这些设备通常缺乏基于主机的监控工具。