Uma campanha maliciosa tem como alvo específico dispositivos de borda da Juniper, muitos atuando como gateways de VPN, com um malware chamado J-magic que inicia um reverse shell apenas se detectar um “magic packet” no tráfego de rede.
Os ataques de J-magic parecem visar organizações nos setores de semicondutores, energia, fabricação (naval, painéis solares, maquinário pesado) e TI.
O malware J-magic é uma variante personalizada do backdoor cd00r, disponível publicamente - um proof-of-concept que permanece silencioso e monitora passivamente o tráfego da rede por um pacote específico antes de abrir um canal de comunicação com o atacante.
De acordo com pesquisadores da Black Lotus Labs, braço de pesquisa e operações de ameaças da Lumen, a campanha J-magic estava ativa entre meados de 2023 e pelo menos até meados de 2024 e foi orquestrada para "detecção baixa e acesso de longo prazo".
Com base na telemetria disponível, os pesquisadores dizem que cerca de metade dos dispositivos alvo pareciam configurados como um gateway de rede privada virtual para sua organização.
De maneira semelhante ao cd00r, o J-magic observa o tráfego TCP por um pacote com características específicas - “magic packet” - enviado pelo atacante.
Ele faz isso criando um filtro eBPF na interface e porta especificada como um argumento de linha de comando quando executado.
Os pesquisadores da Black Lotus Labs dizem que o malware verifica vários campos e offsets em busca de indícios que indiquem o pacote correto de um endereço IP remoto.
J-magic procura por cinco condições e, se um pacote atende a uma delas, ele gera um reverse shell.
No entanto, o remetente deve resolver um desafio antes de obter acesso ao dispositivo comprometido.
O IP remoto recebe uma string alfanumérica aleatória de cinco caracteres criptografada com uma chave pública RSA hardcoded.
Se a resposta recebida não for igual à string original, a conexão se fecha.
Embora a atividade compartilhe semelhanças técnicas com o malware SeaSpy, também baseado no backdoor cd00r, algumas diferenças tornam difícil estabelecer uma conexão entre as duas campanhas.
Os dois malwares procuram por cinco condições mágicas diferentes.
Além disso, o J-magic incluiu um certificado que foi usado no segundo processo de verificação que forneceu acesso ao shell.
Os pesquisadores dizem que com base nestas descobertas, eles têm “baixa confiança na correlação [do J-magic] com a família SeaSpy.”
O backdoor SeaSpy foi plantado em Barracuda Email Security Gateways depois que atores de ameaças chineses exploraram a
CVE-2023-2868
como uma vulnerabilidade zero-day desde pelo menos outubro de 2022.
O ator de ameaças por trás do SeaSpy, acompanhado internamente pela Mandiant como UNC4841, violou servidores de e-mail de agências governamentais dos EUA.
Os pesquisadores da Black Lotus Labs acreditam que a campanha J-magic focada em roteadores da Juniper mostra que o uso desse tipo de malware está se tornando cada vez mais uma tendência.
Ao visar roteadores de nível empresarial com malware “magic packet”, os atores de ameaças podem permanecer não detectados por períodos mais longos, já que tais dispositivos raramente são reiniciados, o malware reside na memória, e esses dispositivos normalmente carecem de ferramentas de monitoramento baseadas em host.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...