Nova prijetnja mrežama: Backdoor u Juniper ruterima koristi ranjivost za špijunažu

Objavljeno: 23.01.2025. 23:00 Autor: Gov - CIRT

Izvještaj kompanije Black Lotus Labs pri Lumen Technologies otkrio je prilagođeni „backdoor“ koji cilja korporativne rutere kompanije Juniper Networks, u kampanji nazvanoj „J-magic“. Ovaj malver je dizajniran specifično za operativni sistem Junos OS koji je verzija FreeBSD – a korišćena na ovim ruterima.

Glavne karakteristike backdoora:

  • Backdoor prati specifičan „magični paket“ poslat putem TCP saobraćaja
  • Kada primi taj paket šalje nazad dodatni izazov
  • Ukoliko je taj izazov tačno riješen uspostavlja „reverse shell“ ka unaprijed određenoj IP adresi i portu, što omogućava napadačima da preuzmu kontrolu nad uređajem, kradu podatke ili ubacuju dodatne zlonamjerne programe.

Najstariji uzorak ovog malvera datira iz septembra 2023 dok su aktivnosti zabilježene između sredine 2023. i sredine 2024. godine. Glavne mete su bile industrije poput poluprovodnika, energetike, proizvodnje i informacionih tehnologija, dok su napadi zabilježeni širom Evrope, Azije i Južne Amerike, uključujući zemlje kao što su Argentina, Armenija, Brazil, Čile, Kolumbija, Indonezija, Holandija, Norveška, Peru, Velika Britanija, SAD i Venecuela.

Malver je varijanta starog backdoor-a poznatog ka „cd00r“ koji postoji već skoro 25 godina. Osim toga, ovaj malver će sačekati pet unaprijed definisanih parametara prije nego što započne svoje operacije. Sekundarni izazov uveden je kako bi se sppriječilo da drugi napadači šalju magične pakete i koriste backdoor u svoje svrhe. Vrijedi napomenuti da je druga varijanta ovog backdoora kodnog naziva SEASPY „puštena“ u vezi sa kampanjom usmjerenom na uređaje Barracuda Email Security Gateway (ESG) krajem 2022.godine. Međutim, trenutno nema dokaza da koji bi povezivali ove dvije kampanje niti J-magic kampanja pokazuje bilo kakve znake da se preklapa sa drugim kampanjama koje ciljaju rutere kompanija poput Jaguar Tooth i BlackTech.

Ova kampanja ukazuje kako napadači sve češće ciljaju periferne uređaje poput rutera zbog njihovog dugog vremena rada i nedostatka zaštite poput EDR-a (endpoint detection and response). Takođe pokazuje njihovu sposobnost da prošire svoj fokus na druge vrste uređaja poput korporativnih rutera.

Izvor:  Custom Backdoor Exploiting Magic Packet Vulnerability in Juniper Routers

Vezani članci:

Počela obuka "WB3C" Centra za edukaciju iz sajber bezbjednosti

19.06.2023.

Takmičenje “Cyber odgovorni”

20.12.2023.

Top 5 potencijalno najopasnijih malvera u 2025. godini

15.01.2025.

Napad na FortiGate firewall: Hakeri objavili konfiguracije iz 2022. godine

16.01.2025.
Da li vam je sadržaj ove stranice bio od koristi?