исследователи Лаборатории Блэк Лотос выявили целевую вредоносную кампанию, использующую маршрутизаторы корпоративного класса Juniper.

Кампания под названием «J-Magic» использует «магический пакет» для запуска бэкдора на маршрутизаторах Junos OS на базе FreeBSD, что позволяет злоумышленникам незаметно получить контроль над устройствами, украсть данные или развернуть дополнительное вредоносное ПО.

Кампания привлекла особое внимание, поскольку фокусируется на высококачественном сетевом оборудовании Juniper, которое обычно служит критической инфраструктурой на предприятиях. Маршрутизаторы корпоративного класса являются привлекательными целями для злоумышленников, поскольку обычно им не хватает надежных средств мониторинга на базе хоста, они испытывают минимальные перебои в подаче электроэнергии и содержат вредоносное ПО, хранящееся в памяти.

По данным Black Lotus Labs, атака активна с середины 2023 года и нацелена на различные отрасли, включая полупроводники, энергетику, информационные технологии и производство. Особенно пострадали маршрутизаторы Juniper, которые действуют как шлюзы виртуальных частных сетей (VPN) и представляют собой критически важную точку доступа к корпоративным сетям.

Магия J-Magic

Кампания фокусируется на варианте старой вредоносной программы cd00r, проекта с открытым исходным кодом, который впервые появился в 2000 году. Хотя cd00r изначально был разработан для экспериментов с «невидимыми» бэкдорами, киберпреступники переделали его в сложный инструмент в J-Magic. Вредоносное ПО характеризуется способностью оставаться пассивным до тех пор, пока во входящем TCP-трафике не будут выполнены определенные предопределенные условия.

Black Lotus Labs резюмировала механику J-Magic следующим образом:

  • Обнаружение магических пакетов: Вредоносное ПО устанавливает на маршрутизатор пассивный агент для мониторинга всего входящего TCP-трафика с использованием функции захвата пакетов (pcap) с помощью расширенных фильтров пакетов Berkeley (eBPF).
  • Включите условные триггеры: Особые критерии, называемые «магическими пакетами», встроены в полезные данные TCP. Эти пакеты содержат ряд предопределенных параметров, каждый из которых может активировать вредоносное ПО.
  • Механизм вызова-ответа: После активации вредоносная программа отправляет запрос, зашифрованный с помощью жестко запрограммированного открытого ключа RSA. Злоумышленник должен правильно отреагировать, чтобы получить командную оболочку.
  • Обратный доступ к оболочке: После успешной аутентификации злоумышленник получает контроль над зараженным устройством и может загружать данные, отдавать команды или проникать глубже в корпоративную сеть.
ЧИТАТЬ  PlayStation Store под огнем критики: Sony собирается противостоять иску потребителей

Вредоносная программа также маскируется под законный процесс, называемый «[nfsiod 0]`, который имитирует внешний вид процессов ОС Junos, чтобы избежать обнаружения администраторами.

Вредоносная программа J-Magic обнаруживает тщательно созданные условия в TCP-пакетах. Ключевые параметры включают определенные последовательности байтов в заголовках TCP, IP-адреса и порты источника и назначения, а также определенные шаблоны в полезной нагрузке. Если любое из пяти предопределенных условий выполняется, вредоносная программа выполняет обратную оболочку и отправляет запрос на IP-адрес злоумышленника.

Хотя J-Magic имеет сходство с предыдущей вредоносной кампанией под названием SeaSpy, которая также была нацелена на системы на базе FreeBSD с вариантами cd00r, команда Black Lotus по-прежнему осторожно относится к их объединению.

«Хотя некоторые аспекты мастерства J-Magic аналогичны SeaSpy, включая общие имена функций и использование пакетов Magic, были определенные функции, такие как встроенный вызов сертификата RSA, которые не были замечены в образцах SeaSpy», — объяснили исследователи.

Кампания также подчеркивает растущую тенденцию в сообществе злоумышленников использовать пассивное, резидентное вредоносное ПО, которое уклоняется от традиционных методов обнаружения – тактика, ставшая популярной благодаря бэкдорам, таким как BPFdoor и Symbiote.

Маршрутизаторы Juniper предлагают множество целей для атак

Исследователи отследили случаи заражения вредоносным ПО J-Magic по 36 уникальным IP-адресам по всему миру. Было подтверждено, что почти половина зараженных устройств служили VPN-шлюзами для пострадавших организаций, обеспечивая удаленный доступ и потенциальную кражу учетных данных.

Организации-жертвы охватывают целый ряд секторов и регионов. Основные моменты включают в себя:

  • Базируется в Великобритании Строительные и IT компании планируется на период с июня по август 2024 года.
  • Норвежец Биотехнологическая компания Продолжайте получать волшебные посылки в середине-конце 2024 года.
  • Злоумышленники даже прицелились Организации в энергетическом секторев том числе производитель солнечных модулей.
ЧИТАТЬ  Фавиконки и ваш онлайн-бренд: убедитесь, что вы выделяетесь!

Другая группа зараженных устройств имела открытые порты NETCONF, которые обычно использовались для автоматического управления устройствами. Такие маршрутизаторы обычно обслуживают более крупные группы телекоммуникационных компаний или интернет-провайдеров (ISP), что подчеркивает намерение злоумышленников скомпрометировать централизованную инфраструктуру.

Интересно, что исследователи обнаружили географический раскол в тактике атак: европейские устройства использовались в первую очередь как VPN-шлюзы, тогда как южноамериканские маршрутизаторы, часто управляемые удаленно, по-видимому, находились на стадии разведки.

Кампания J-Magic является примером растущего внимания и успеха злоумышленников, нацеленных на маршрутизаторы корпоративного класса, выходящих за рамки традиционных целей, таких как потребительские устройства или устройства малого офиса/домашнего офиса (SOHO). Маршрутизаторы Juniper, занимающие нишу, но решающую роль в корпоративных сетевых средах, представляют собой богатую мишень для злоумышленников, стремящихся проникнуть в организации с высоким уровнем риска.

Такие кампании, поддерживаемые передовыми тактиками, такими как пассивный анализ на основе eBPF и модульные варианты CD00R, создают серьезные проблемы для защитников. «Поскольку вредоносное ПО развивается и использует резидентные и пассивные возможности памяти, обнаружение становится значительно сложнее», — отмечают в Black Lotus Labs.

Чтобы снизить риски, организациям, использующим маршрутизаторы Juniper или аналогичные устройства, следует внедрить строгий контроль доступа, обеспечить частые обновления операционных систем устройств и использовать системы обнаружения вторжений (IDS), которые могут обнаруживать аномальные закономерности в структурах пакетов и сетевых потоках.

Поскольку сетевые инфраструктуры становятся более сложными, атаки, подобные J-Magic, вероятно, станут более распространенными. Мастерство, продемонстрированное в этой кампании, демонстрирует растущую способность игроков перехитрить традиционную защиту, одновременно нацеливаясь на критически важные цифровые точки взаимодействия внутри организаций.

(Изображение из Адриан Малек)

См. также: Критическая инфраструктура под прицелом из-за роста атак программ-вымогателей

Вредоносное ПО нацелено на маршрутизаторы корпоративного класса Juniper

Хотите узнать больше о кибербезопасности и облаке от лидеров отрасли? Проверить Выставка «Кибербезопасность и облачные технологии» проходит в Амстердаме, Калифорнии и Лондоне. Это комплексное мероприятие будет проходить наряду с другими ведущими мероприятиями, в том числе Неделя цифровой трансформации, Выставка Интернета вещей, Блокчейн ЭкспоИ Выставка искусственного интеллекта и больших данных.

ЧИТАТЬ  «Это не так просто, как реальное изображение и поддельное изображение»: Qualcomm высказывает мнение по поводу дебатов по редактированию фотографий с помощью ИИ

Узнайте о других предстоящих мероприятиях и вебинарах в области корпоративных технологий, организованных TechForge. Здесь.

Теги: Black Lotus Labs, подключение, кибербезопасность, кибербезопасность, предприятие, взлом, аппаратное обеспечение, информационная безопасность, можжевельник, вредоносное ПО, сети, маршрутизаторы

Source