Kurumsal düzeydeki Juniper Networks yönlendiricileri, adı verilen bir kampanyanın parçası olarak özel bir arka kapının hedefi haline geldi. J-sihir.
Lumen Technologies’deki Black Lotus Labs ekibine göre bu etkinliğe, arka kapının TCP trafiğinde tehdit aktörü tarafından gönderilen bir “sihirli paketi” sürekli olarak izlemesi nedeniyle bu ad verilmiştir.
The Hacker News ile paylaşılan bir raporda şirket, “J-magic kampanyası, benzer bir pazara hizmet eden ancak FreeBSD’nin bir çeşidi olan farklı bir işletim sistemine dayanan JunoOS için özel olarak tasarlanmış kötü amaçlı yazılımların nadir bir örneğini işaret ediyor” dedi.
Şirket tarafından toplanan kanıtlar, arka kapının en eski örneğinin Eylül 2023’e kadar uzandığını ve faaliyetin 2023 ortası ile 2024 ortası arasında devam ettiğini gösteriyor. Yarı iletken, enerji, üretim ve bilgi teknolojisi (BT) sektörleri en çok hedeflenen sektörlerdi.
Arjantin, Ermenistan, Brezilya, Şili, Kolombiya, Endonezya, Hollanda, Norveç, Peru, Birleşik Krallık, ABD ve Venezuela dahil olmak üzere Avrupa, Asya ve Güney Amerika’da enfeksiyonlar bildirildi.
Kampanya, henüz belirlenemeyen bir yöntemle ilk erişim elde edildikten sonra bir aracının konuşlandırılmasıyla dikkat çekiyor. CD00r olarak adlandırılan, kamuya açık bir arka kapının bir çeşidi olan ajan, işlemlerine başlamadan önce önceden tanımlanmış beş farklı parametreyi bekler.
Bu sihirli paketlerin alınması üzerine, aracı ikincil bir sorgulamayı geri gönderecek şekilde yapılandırılır ve bunun ardından J-magic, sihirli pakette belirtilen IP adresine ve bağlantı noktasına bir ters kabuk oluşturur. Bu, saldırganların cihazı kontrol etmesine, verileri çalmasına veya ek yükler dağıtmasına olanak tanır.
Lumen, bu meydan okumanın dahil edilmesinin, düşmanın diğer tehdit aktörlerinin ayrım gözetmeksizin sihirli paketler yayınlamasını ve J-sihirli ajanları kendi hedeflerine ulaşmak için yeniden kullanmasını engelleme girişimi olduğunu teorileştirdi.
SEASPY kod adı verilen başka bir cd00r çeşidinin, 2022’nin sonlarında Barracuda Email Security Gateway (ESG) cihazlarını hedefleyen bir kampanyayla bağlantılı olarak konuşlandırıldığını belirtmekte fayda var.
Bununla birlikte, bu aşamada iki kampanyayı birbirine bağlayacak bir kanıt bulunmadığı gibi, J-magic kampanyasının Jaguar Tooth ve BlackTech (diğer adıyla Canary Typhoon) gibi kurumsal düzeydeki yönlendiricileri hedef alan diğer kampanyalarla örtüştüğüne dair herhangi bir işaret de bulunmuyor.
Potansiyel olarak etkilenen IP adreslerinin çoğunluğunun, VPN ağ geçitleri görevi gören Juniper yönlendiricileri olduğu ve ikinci bir küçük kümenin açıkta kalan NETCONF bağlantı noktasına sahip olanlardan oluştuğu söyleniyor. Ağ yapılandırma cihazlarının, yönlendirici yapılandırma bilgilerini ve yönetimini otomatikleştirme yetenekleri nedeniyle hedef alınmış olabileceğine inanılıyor.
Yönlendiricilerin, takip eden saldırılara hazırlanan ulus devlet aktörleri tarafından kötüye kullanılmasıyla birlikte, en son bulgular, büyük ölçüde uzun çalışma süresi ve bu tür cihazlardaki uç nokta algılama ve yanıt (EDR) korumalarının eksikliğinden kaynaklanan uç altyapının hedeflenmeye devam ettiğinin altını çiziyor.
Lumen, “Kampanyanın en dikkat çekici yönlerinden biri Juniper yönlendiricilerine odaklanılmasıdır” dedi. “Diğer ağ ekipmanlarının yoğun şekilde hedeflendiğini görsek de, bu kampanya, saldırganların kurumsal sınıf yönlendiriciler gibi diğer cihaz türlerine genişleyerek başarıyı yakalayabileceğini gösteriyor.”