黑客魔术包入侵Juniper路由器,全球多国企业遭殃

admin 2025年1月25日01:57:00评论33 views字数 1292阅读4分18秒阅读模式

攻击者针对企业级Juniper Networks路由器部署了定制后门,通过监听TCP流量中的“魔术包”来激活反向shell,从而控制设备、窃取数据或部署额外恶意软件。

黑客魔术包入侵Juniper路由器,全球多国企业遭殃

在一场名为“J-magic”的攻击活动中,企业级Juniper Networks路由器成为了定制后门的攻击目标。

据Lumen Technologies旗下的Black Lotus Labs团队称,该活动之所以得名如此,是因为后门程序会不断监测威胁行为者在TCP流量中发送的“魔术包”

该公司在一份报告中表示:“J-magic活动标志着专为JunoOS设计的恶意软件罕见出现,JunoOS服务于类似市场,但依赖于FreeBSD的一个变种操作系统。”

公司收集的证据显示,该后门程序的最早样本可追溯至2023年9月,活动持续时间为2023年中至2024年中。半导体、能源、制造和信息技术(IT)行业是最主要的攻击目标。

欧洲、亚洲和南美洲均有感染报告,包括阿根廷、亚美尼亚、巴西、智利、哥伦比亚、印度尼西亚、荷兰、挪威、秘鲁、英国、美国和委内瑞拉。

该活动的一个显著特点是,在通过尚未确定的方法获得初步访问权限后,会部署一个代理。该代理是公开可用的后门程序cd00r的一个变种,在开始操作前会等待五个不同的预定参数。

在收到这些“魔术包”后,代理程序被配置为发送一个二级挑战,随后J-magic在与魔术包中指定的IP地址和端口建立反向shell。这使得攻击者能够控制设备、窃取数据或部署额外的有效载荷。

Lumen推测,挑战环节的加入是攻击者试图防止其他威胁行为者随意发送魔术包,并将J-magic代理用于实现自身目标。

值得注意的是,cd00r的另一个变种,代号为SEASPY,在2022年末针对Barracuda Email Security Gateway(ESG)设备的活动中被部署。

不过,目前尚无证据表明这两场活动有关联,J-magic活动也没有显示出与针对企业级路由器(如Jaguar Tooth和BlackTech(又名Canary Typhoon))的其他活动有任何重叠迹象。

据说,大多数可能受影响的IP地址是作为VPN网关的Juniper路由器,另一个较小的集群则是暴露NETCONF端口的设备。据信,网络配置设备因其能够自动化路由器配置信息和管理而成为攻击目标。

随着路由器被用于国家行为者策划后续攻击,最新发现强调了边缘基础设施持续成为攻击目标的情况,这主要归因于此类设备的长时间运行以及缺乏端点检测和响应(EDR)保护。

Lumen表示:“该活动最引人注目的方面之一是专注于Juniper路由器。虽然我们已经看到其他网络设备受到严重攻击,但这场活动表明,攻击者能够成功地将攻击范围扩大到其他设备类型,如企业级路由器。”

转载请注明出处@安全威胁纵横,封面由ChatGPT生成;

本文来源:https://thehackernews.com/2025/01/custom-backdoor-exploiting-magic-packet.html

原文始发于微信公众号(安全威胁纵横):黑客“魔术包”入侵Juniper路由器,全球多国企业遭殃

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月25日01:57:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客魔术包入侵Juniper路由器,全球多国企业遭殃http://cn-sec.com/archives/3671280.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息