Вирус «магия» атакует VPN-шлюзы Juniper в обход защиты.

28.01.2025
Угрозы в цепочке поставок оборудования могут ослабить вашу конечную инфраструктуру Угрозы в цепочке поставок оборудования могут ослабить вашу конечную инфраструктуру

Исследователи безопасности обнаружили новую вредоносную программу под названием J-Magic

  • Она прослушивает трафик в ожидании «магического пакета».

    Реклама

  • После обнаружения инициируется развертывание бэкдора на устройстве.

Исследователи предупреждают, что хакеры нацелились на компании в секторах полупроводников, энергетики, производства и информационных технологий, используя уникальную вредоносную программу под названием J-Magic.

Недавний отчет команды Black Lotus из Lumen Technologies раскрыл, что неизвестные злоумышленники перепрофилировали cd00r — скрытого троянца, который обеспечивает несанкционированный доступ к системе. Первоначально этот троянец был разработан как открытый код для образовательных и исследовательских целей в области кибербезопасности.

Перепрофилированный троянец, получивший название J-Magic, внедряется в корпоративные маршрутизаторы Juniper, которые служат шлюзами VPN. Исследователям неизвестно, как злоумышленники инфицировали конечные точки, однако троянец находился в ожидании, пока атакующие не отправляли «магический» TCP пакет.

SeaSpy2 и cd00r

Если получены определенные параметры или «магические пакеты», агент отправляет ответный вызов. После завершения этого вызова, J-Magic устанавливает обратный шелл в локальной файловой системе, что позволяет злоумышленникам управлять устройством, красть данные или устанавливать вредоносное ПО.

Эта кампания была впервые замечена в сентябре и продолжалась до середины следующего года. Black Lotus не назвали, кто были злоумышленниками, однако отметили, что некоторые технические индикаторы этой активности схожи с предыдущими отчетами о вредоносной семье под названием SeaSpy2.

Несмотря на это, исследователи заявили, что у них недостаточно данных, чтобы с высокой степенью уверенности связать эти две кампании.

В любом случае, SeaSpy2 также основывается на cd00r и работает аналогично, прослушивая трафик в поисках магических пакетов. Этот незаметный, пассивный бэкдор маскируется под легитимную службу BarracudaMailService, позволяя злоумышленникам выполнять произвольные команды на взломанных устройствах Barracuda Email Security Gateway (ESG).

SeaSpy, по-видимому, был создан угрозой китайской группы UNC4841.

Источник: TechRadar

ПульсХаб
Опубликовано
Добавить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Будьте в курсе самых важных событий

Нажимая кнопку "Подписаться", вы подтверждаете, что ознакомились с нашими условиями и соглашаетесь с ними. Политика конфиденциальности и Условия использования
Реклама

Читать далее