Эксперты Lumen Black Lotus Labs выявили новую вредоносную кампанию, использующую специализированное вредоносное ПО J-magic для компрометации устройств Juniper. Атаки преимущественно направлены на организации в сферах производства полупроводников, энергетики и тяжелой промышленности.
Особенности и механизм работы J-magic
J-magic представляет собой модифицированную версию открытого бэкдора cd00r, специально адаптированную для операционной системы JunoOS. Вредоносное ПО использует продвинутый механизм активации, основанный на обнаружении специальных «magic-пакетов» в сетевом трафике. Для мониторинга сети малварь создает eBPF-фильтр на указанном сетевом интерфейсе.
Технические аспекты атаки
Процесс компрометации включает многоступенчатую систему проверок. Вредонос анализирует пять различных параметров сетевого трафика для идентификации легитимного «magic-пакета». После обнаружения соответствующего пакета, система требует дополнительную аутентификацию через RSA-шифрование, что предотвращает несанкционированное использование малвари другими злоумышленниками.
Географический охват и целевые системы
Кампания J-magic, действовавшая с середины 2023 по середину 2024 года, затронула организации в более чем 12 странах, включая государства Европы, Азии и Южной Америки. Около 50% скомпрометированных устройств функционировали как VPN-шлюзы, остальные имели открытый порт NETCONF.
Связь с другими угрозами
Исследователи отмечают схожесть J-magic с вредоносным ПО SeaSpy, также основанным на бэкдоре cd00r. Однако существенные технические различия не позволяют однозначно установить связь между этими угрозами. Примечательно, что SeaSpy ранее использовался китайской группировкой UNC4841 для атак на Barracuda Email Security Gateway.
Данная кампания демонстрирует растущую тенденцию целевых атак на сетевую инфраструктуру предприятий. Организациям, использующим устройства Juniper, рекомендуется усилить мониторинг сетевого трафика, регулярно обновлять программное обеспечение и внедрить многоуровневую систему защиты периметра сети.
