“J-Magic” olarak adlandırılan sofistike bir siber kampanya, pasif bir izleme aracısından yararlanan arka kapı saldırısına sahip kurumsal sınıf ardıç yönlendiricilerini hedefleyen keşfedildi.
İlk olarak Eylül 2023’te tespit edilen operasyon, TCP trafiğinde belirli “sihirli paketler” için sürekli tarama yapan CD00R arka kapısının bir çeşidini kullanır.
Teknik uygulama
“JunoscriptService” olarak görünen kötü amaçlı yazılım, belirtilen arayüzler ve bağlantı noktaları üzerinde bir EBPF filtresi oluşturarak çalışır.
Kurulum üzerine kendini yeniden adlandırıyor “[nfsiod 0]”Meşru NFS süreçleriyle karışmak için.
Arka kapı, önceden tanımlanmış beş farklı parametre için gelen TCP trafiğini izler ve eşleşen bir “sihirli paket” ile tetiklendiğinde, bir ters kabuk oluşturmadan önce ikincil bir zorluk başlatır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Kampanya öncelikle ardıç yönlendiricilerini VPN ağ geçitleri olarak kullanan kuruluşlara odaklanmıştır ve hedeflenen cihazların yaklaşık% 50’si bu işleve hizmet vermektedir.
Saldırganlar stratejik olarak hedeflenen yarı iletken, enerji, imalat ve BT sektörleri, kurbanlar birden fazla ülkeye yayıldı.
Operasyon, ağ kavşağı olarak hizmet edebilecek ve potansiyel olarak kurumsal ağlara daha derin erişim sağlayan cihazlara özel bir ilgi gösterdi.
Lümen raporuna göre, J-Magic’i ayıran şey, sofistike operasyonel güvenlik önlemleridir.
Kötü amaçlı yazılım, benzersiz bir RSA meydan okuma mekanizması uygular ve saldırganların sert kodlanmış bir genel anahtarla şifrelenmiş beş karakterli rastgele bir dizeye doğru yanıt vermesini gerektirir.
Bu özellik, yetkisiz aktörlerin güvenliği ihlal edilmiş sistemleri kaçırmasını önlemek için tasarlanmıştır ve daha önceki varyantlara kıyasla Tradecraft’ta bir evrim göstermektedir.
Kampanya, 2023 ortasından en azından 2014 ortasına kadar aktif kaldı ve telemetri, analiz edilen netflow’un% 0.01’inden daha azının küresel olarak 36 benzersiz IP adresindeki potansiyel uzlaşmaya karşılık geldiğini gösteriyor.
Daha önce bilinen Seaspy2 kötü amaçlı yazılım ailesiyle bazı teknik göstergeleri paylaşırken, araştırmacılar sınırlı teknik örtüşme nedeniyle doğrudan ilişkilendirmeye güveniyorlar.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek