Κακόβουλο λογισμικό «Magic Packet» επιθέτει VPN πύλες Juniper

Μια κακόβουλη καμπάνια στοχεύει ειδικά συσκευές Juniper edge, πολλές από τις οποίες λειτουργούν ως πύλες VPN, με κακόβουλο λογισμικό που ονομάζεται J-magic που ξεκινά ένα αντίστροφο κέλυφος μόνο εάν ανιχνεύσει ένα «μαγικό πακέτο» στην κυκλοφορία του δικτύου.

Οι επιθέσεις J-magic φαίνεται να στοχεύουν οργανισμούς στους τομείς των ημιαγωγών, της ενέργειας, της μεταποίησης (ναυτιλιακά, ηλιακά πάνελ, βαριά μηχανήματα) και της πληροφορικής.

Αντίστροφο κέλυφος που προστατεύεται από πρόκληση

Το κακόβουλο λογισμικό J-magic είναι μια προσαρμοσμένη παραλλαγή του δημοσίως διαθέσιμου backdoor cd00r – μια απόδειξη της ιδέας που παραμένει αθόρυβη και παρακολουθεί παθητικά την κυκλοφορία δικτύου για ένα συγκεκριμένο πακέτο πριν ανοίξει ένα κανάλι επικοινωνίας με τον εισβολέα.

Σύμφωνα με ερευνητές στο Black Lotus Labs, τον ερευνητικό και επιχειρησιακό βραχίονα απειλών της Lumen, η καμπάνια J-magic ήταν ενεργή μεταξύ των μέσων του 2023 και τουλάχιστον των μέσων του 2024 και ενορχηστρώθηκε για «χαμηλή ανίχνευση και μακροπρόθεσμη πρόσβαση».

Με βάση τη διαθέσιμη τηλεμετρία, οι ερευνητές λένε ότι περίπου οι μισές από τις στοχευμένες συσκευές φάνηκαν να έχουν διαμορφωθεί ως μια εικονική ιδιωτική πύλη δικτύου για τον οργανισμό τους.

Ομοίως με το cd00r, το J-magic παρακολουθεί την κυκλοφορία TCP για ένα πακέτο με συγκεκριμένα χαρακτηριστικά – “μαγικό πακέτο” – που αποστέλλεται από τον εισβολέα. Αυτό το κάνει δημιουργώντας ένα φίλτρο eBPF στη διεπαφή και στη θύρα που καθορίζονται ως όρισμα γραμμής εντολών όταν εκτελείται.

Οι ερευνητές της Black Lotus Labs λένε ότι το κακόβουλο λογισμικό ελέγχει διάφορα πεδία και αντισταθμίζει ενδείξεις που υποδεικνύουν το σωστό πακέτο από μια απομακρυσμένη διεύθυνση IP.

Το J-magic αναζητά πέντε συνθήκες και εάν ένα πακέτο πληροί μία από αυτές, δημιουργεί ένα αντίστροφο κέλυφος. Ωστόσο, ο αποστολέας πρέπει να λύσει μια πρόκληση πριν αποκτήσει πρόσβαση στη συσκευή που έχει παραβιαστεί.

Η απομακρυσμένη IP λαμβάνει μια τυχαία αλφαριθμητική συμβολοσειρά πέντε χαρακτήρων κρυπτογραφημένη με ένα δημόσιο κλειδί RSA με σκληρό κώδικα. Εάν η ληφθείσα απάντηση δεν είναι ίση με την αρχική συμβολοσειρά, η σύνδεση κλείνει.

Αν και η δραστηριότητα μοιράζεται τεχνικές ομοιότητες με το κακόβουλο λογισμικό SeaSpy, το οποίο βασίζεται επίσης στο backdoor του cd00r, ορισμένες διαφορές καθιστούν δύσκολη τη δημιουργία σύνδεσης μεταξύ των δύο καμπανιών.

Τα δύο κακόβουλα προγράμματα αναζητούν πέντε διαφορετικές μαγικές συνθήκες. Επιπλέον, το J-magic περιελάμβανε ένα πιστοποιητικό που χρησιμοποιήθηκε στη δεύτερη διαδικασία επαλήθευσης που παρείχε πρόσβαση στο κέλυφος.

Οι ερευνητές λένε ότι με βάση αυτά τα ευρήματα, έχουν «χαμηλή εμπιστοσύνη στη συσχέτιση [of J-magic] στην οικογένεια SeaSpy.”

Η κερκόπορτα SeaSpy φυτεύτηκε στις πύλες ασφάλειας email Barracuda αφού κινέζοι παράγοντες απειλών εκμεταλλεύτηκαν το CVE-2023-2868 ως ευπάθεια μηδενικής ημέρας τουλάχιστον από τον Οκτώβριο του 2022.

Ο παράγοντας απειλής πίσω από το SeaSpy, ο οποίος παρακολουθείται εσωτερικά από τη Mandiant ως UNC4841, παραβίασε τους διακομιστές email των κυβερνητικών υπηρεσιών των ΗΠΑ.

Οι ερευνητές της Black Lotus Labs πιστεύουν ότι η καμπάνια J-magic που επικεντρώνεται στους δρομολογητές Juniper δείχνει ότι η χρήση αυτού του τύπου κακόβουλου λογισμικού μετατρέπεται όλο και περισσότερο σε τάση.

Στοχεύοντας δρομολογητές εταιρικής ποιότητας με κακόβουλο λογισμικό “μαγικού πακέτου”, οι παράγοντες απειλών μπορούν να παραμείνουν απαρατήρητοι για μεγαλύτερα χρονικά διαστήματα, καθώς αυτές οι συσκευές σπάνια τροφοδοτούνται από τον κύκλο, το κακόβουλο λογισμικό βρίσκεται στη μνήμη και αυτές οι συσκευές συνήθως δεν διαθέτουν εργαλεία παρακολούθησης που βασίζονται στον κεντρικό υπολογιστή.