Нова пријетња мрежама: Бацкдоор у Јунипер рутерима користи рањивост за шпијунажу

Објављено: 23.01.2025. 23:00 Аутор: Гов - ЦИРТ

Извјештај компаније Блацк Лотус Лабс при Лумен Тецхнологиес открио је прилагођени „бацкдоор“ који циља корпоративне рутере компаније Јунипер Нетwоркс, у кампањи названој „Ј-магиц“. Овај малвер је дизајниран специфично за оперативни систем Јунос ОС који је верзија ФрееБСД – а коришћена на овим рутерима.

Главне карактеристике бацкдоора:

  • Бацкдоор прати специфичан „магични пакет“ послат путем ТЦП саобраћаја
  • Када прими тај пакет шаље назад додатни изазов
  • Уколико је тај изазов тачно ријешен успоставља „реверсе схелл“ ка унапријед одређеној ИП адреси и порту, што омогућава нападачима да преузму контролу над уређајем, краду податке или убацују додатне злонамјерне програме.

Најстарији узорак овог малвера датира из септембра 2023 док су активности забиљежене између средине 2023. и средине 2024. године. Главне мете су биле индустрије попут полупроводника, енергетике, производње и информационих технологија, док су напади забиљежени широм Европе, Азије и Јужне Америке, укључујући земље као што су Аргентина, Арменија, Бразил, Чиле, Колумбија, Индонезија, Холандија, Норвешка, Перу, Велика Британија, САД и Венецуела.

Малвер је варијанта старог бацкдоор-а познатог ка „цд00р“ који постоји већ скоро 25 година. Осим тога, овај малвер ће сачекати пет унапријед дефинисаних параметара прије него што започне своје операције. Секундарни изазов уведен је како би се сппријечило да други нападачи шаљу магичне пакете и користе бацкдоор у своје сврхе. Вриједи напоменути да је друга варијанта овог бацкдоора кодног назива СЕАСПY „пуштена“ у вези са кампањом усмјереном на уређаје Баррацуда Емаил Сецуритy Гатеwаy (ЕСГ) крајем 2022.године. Међутим, тренутно нема доказа да који би повезивали ове двије кампање нити Ј-магиц кампања показује било какве знаке да се преклапа са другим кампањама које циљају рутере компанија попут Јагуар Тоотх и БлацкТецх.

Ова кампања указује како нападачи све чешће циљају периферне уређаје попут рутера због њиховог дугог времена рада и недостатка заштите попут ЕДР-а (ендпоинт детецтион анд респонсе). Такође показује њихову способност да прошире свој фокус на друге врсте уређаја попут корпоративних рутера.

Извор:  Цустом Бацкдоор Еxплоитинг Магиц Пацкет Вулнерабилитy ин Јунипер Роутерс

Везани чланци:

Почела обука "WB3C" Центра за едукацију из сајбер безбједности

19.06.2023.

Такмичење “Cyber одговорни”

20.12.2023.

Топ 5 потенцијално најопаснијих малвера у 2025. години

15.01.2025.

Напад на FortiGate firewall: Хакери објавили конфигурације из 2022. године

16.01.2025.
Да ли вам је садржај ове странице био од користи?