导语:安全圈再曝重大网络攻击事件!全球知名网络设备厂商Juniper的企业级路由器遭定制化后门程序"J-magic"定向攻击,攻击者利用"魔法数据包"漏洞远程操控设备,半导体、能源、制造业及IT巨头成首要目标,欧洲、亚洲、南美洲多国已中招。
一、攻击事件速览
国际安全团队Lumen Technologies旗下Black Lotus Labs最新报告披露,攻击者通过未公开的初始入侵手段植入名为J-magic的定制后门程序,专攻Juniper路由器搭载的JunoOS系统(基于FreeBSD开发)。该活动最早可追溯至2023年9月,攻击活跃期横跨2023年中至2024年中,目前仍在持续监测中。
高危行业:半导体、能源、制造业、信息技术(IT)波及国家:阿根廷、亚美尼亚、巴西、智利、哥伦比亚、印尼、荷兰、挪威、秘鲁、英国、美国、委内瑞拉等12国。
二、攻击技术深度解析
-
"魔法数据包"触发后门
-
后门程序实时监控TCP流量中的预定义"魔法数据包"(Magic Packet),攻击者发送包含特定参数的指令后,后门将发起反向Shell连接,实现设备完全控制、数据窃取及后续攻击载荷部署。
-
技术溯源显示,该后门为公开工具cd00r的变种,需同时满足5个参数条件方可激活,显著提高隐蔽性。
-
对抗性防御机制
-
攻击者在触发后门后设置二次验证挑战,意图阻止其他黑客组织滥用该通道,确保对已植入设备的独占控制权。
-
攻击目标精准化
-
受感染设备中,超90%为Juniper VPN网关,少数暴露NETCONF端口的路由器亦被锁定。攻击者可能利用其自动化配置管理功能渗透企业内网。
三、历史关联与威胁升级
-
同类攻击工具SEASPY曾于2022年末针对Barracuda邮件安全网关(ESG),但尚未发现与J-magic的直接关联。
-
区别于针对企业路由器的Jaguar Tooth、BlackTech(Canary Typhoon)等APT组织,J-magic展现出对Juniper设备的专项突破能力,或预示攻击者正扩大对边缘网络设备的打击面。
四、安全防御建议
Lumen团队紧急呼吁企业采取以下措施:
-
紧急排查:检查Juniper设备是否存在异常进程及未授权NETCONF端口开放。
-
流量监控:部署深度流量检测工具,识别TCP流中的非常规"魔法数据包"特征。
-
补丁升级:密切关注Juniper官方安全公告,及时修复漏洞。
-
纵深防御:对VPN网关实施多因素认证(MFA),限制管理接口暴露面。
五、行业警示
"J-magic事件标志着国家级攻击者正将边缘基础设施(如路由器)作为跳板,利用其长运行周期、无终端防护(EDR)的弱点,为后续高级攻击铺路。"Lumen报告强调,企业级路由器的安全防护已成全球攻防战新高地。
原文始发于微信公众号(技术修道场):高危!Juniper企业级路由器遭定制化后门攻击,全球多国半导体/能源/IT巨头成靶标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论