Gizli bir saldırı kampanyası, Juniper kurumsal sınıf yönlendiricilerini, cihazların belleğine yüklenen ve talimat verildiğinde bir ters kabuk oluşturan “J-magic” arka kapısı aracılığıyla kurumsal ağlara giriş noktalarına dönüştürdü.
“Telemetrimiz, J-magic kampanyasının 2023 ortasından en azından 2024 ortasına kadar aktif olduğunu gösteriyor; Lumen’in Black Lotus Labs ekip araştırmacıları, bu süre zarfında diğerlerinin yanı sıra yarı iletken, enerji, üretim ve BT sektörlerindeki hedefleri gözlemledik” dedi.
J-magic kötü amaçlı yazılımı
Araştırmacılar, Eylül 2023’te VirusTotal’a yüklendikten sonra bir J-magic örneği buldular ve onu analiz etmeye koyuldular.
“Dosya, virüs bulaşmış yönlendiriciye yüklendikten sonra, çalıştırıldığında komut satırından bir arayüz ve bağlantı noktası sağlanmasını bekliyor. Bunlar sağlanırsa, kötü amaçlı yazılım kendisini şu şekilde yeniden adlandıracaktır: “[nfsiod 0]Araştırmacılar, bunun “yerel NFS eşzamansız I/O sunucusu gibi görünmek ve ardından önceki komut satırı argümanlarının üzerine yazarak izlerini gizlemek için” olduğunu buldu.
Daha sonra, bir eBPF uzantısı aracılığıyla bir paket yakalama (PCAP) dinleyicisi başlatır ve saldırganın kendisini belirtilen IP adresine ve bağlantı noktasına ters kabuk oluşturmaya teşvik edecek bir “sihirli paket” göndermesini bekler, böylece erişilebilen bir arka kapı açılır. saldırganın sunucusu.
Tetikleyici paket, kötü amaçlı yazılım geliştiricisi tarafından belirlenen beş özel “koşulu” karşılıyor, ancak ters kabuk yalnızca saldırganın bir meydan okumaya doğru yanıt vermesi durumunda oluşturulacak. Zorluk, sabit kodlanmış bir genel RSA anahtarı kullanılarak şifrelenen beş karakterlik rastgele bir alfasayısal dizedir. Doğru yanıt, şifresi çözülmüş dizedir.
İki sayı eşleşmiyorsa bağlantı kapatılır. Bunu yaparlarsa uzak kabuk oluşturulur ve komutları kabul etmeye hazır hale gelir.
“Geliştiricinin bu RSA mücadelesini, diğer tehdit aktörlerinin mağdurları numaralandırmak için internete sihirli paketler püskürtmesini ve ardından diğer ulus devlet aktörlerinin de sergilediği gibi J-Magic ajanlarını kendi amaçları için yeniden kullanmalarını önlemek için eklediğinden şüpheleniyoruz. Araştırmacılar, Turla gibi asalak bir ticaret aracı olduğunu ileri sürdü.
“Sihirli paket” kötü amaçlı yazılımı yükselişte
Kötü niyetli aracının, kavram kanıtı niteliğinde gizli bir arka kapı oluşturmaya çalışan eski bir açık kaynaklı proje olan cd00r’nin özel bir çeşidi olduğunu keşfettiler.
Cd00r, yıllar boyunca çeşitli saldırganlar tarafından varyantlar oluşturmak için kullanıldı; en önemlisi, Mayıs 2023’te Barracuda Networks’ün E-posta Güvenlik Ağ Geçidi (ESG) cihazlarını tehlikeye atmak için kullanılan SEASPY arka kapısıydı.
Bu saldırganlar, bu ve diğer kötü amaçlı yazılımları ortadan kaldırmak için sıfır gün güvenlik açığından yararlandı ancak ne yazık ki Lumen araştırmacıları, saldırganların J-magic’i bırakmak için hedeflenen Junos OS destekli Juniper cihazlarına ilk erişimi nasıl elde ettiklerini keşfedemediler.
Araştırmacılar, “Kurumsal düzeydeki yönlendiricilerin, normalde çok sayıda ana bilgisayar tabanlı izleme aracına sahip olmadıkları için cazip bir hedef sunduklarına inanıyoruz” dedi.
“Genellikle bu cihazlar nadiren güç döngüsüne tabi tutulur; Yönlendiriciler için özel olarak tasarlanmış kötü amaçlı yazılımlar, uzun çalışma süresinden yararlanacak ve yalnızca bellekte yaşayacak şekilde tasarlanmış olup, aygıt yazılımının içine yerleşen kötü amaçlı yazılımlara kıyasla daha az tespit edilmeye ve uzun vadeli erişime olanak tanır. Bu kampanyada birçok kişinin yaptığı gibi, kurumsal ağın ucunda bulunan veya VPN ağ geçidi olarak hizmet veren yönlendiriciler en zengin hedeflerdir. Bu yerleşim, kurumsal ağın geri kalanına yollar açan bir kavşağı temsil ediyor.”
Lumen’in araştırmacıları, SEASPY ve J-magic kötü amaçlı yazılımını aynı saldırganlara (veya başkalarına) kesin olarak bağlayamadı.
“Magic Packet kötü amaçlı yazılımının, başta BPFdoor ve Symbiote olmak üzere çevre cihazlarına karşı kullanımının giderek artan bir trend haline gelmesini dikkate değer buluyoruz. Tespit etmedeki zorlukların savunmacılar için daha fazla sorun yaratması ve mevcut raporlamanın yalnızca bu tekniği çevreleyen daha fazla farkındalığın sonucu olması nedeniyle bunun daha da artacağından şüpheleniyoruz” dedi.