Кампания J-magic: угроза для маршрутизаторов Juniper как VPN-шлюзов

Кампания J-magic: угроза для маршрутизаторов Juniper как VPN-шлюзов

Изображение: blog.lumen.com

Недавний отчет команды Black Lotus Labs в Lumen Technologies подробно описывает хакерскую кампанию под названием J-magic. Атаки, направленные на маршрутизаторы Juniper, действующие как VPN-шлюзы, используют сложные методы для получения несанкционированного доступа к корпоративным сетям.

Природа атаки

Кампания включает в себя бэкдор-атаку, в которой пассивный агент отслеживает наличие определенного «волшебного пакета», отправляемого злоумышленниками в TCP-трафике. При использовании бэкдора устанавливается агент – вариант cd00r, который:

  • Сканирует на наличие предопределенных параметров;
  • Устанавливает обратную оболочку;
  • Предоставляет злоумышленникам контроль над устройством.

Это позволяет кражу данных или развертывание вредоносного программного обеспечения.

Целевая аудитория и последствия

Кампания J-magic нацелена на различные сектора, такие как:

  • Полупроводниковая промышленность;
  • Энергетика;
  • Производство;
  • Информационные технологии.

Это свидетельствует о широком спектре угроз. Анализ показывает, что примерно 50% целевых устройств служат шлюзами VPN, что усиливает риск утечки конфиденциальных данных.

Проверка и скрытность

Злоумышленники использовали сетевые функции для создания аналитики телеметрии, сосредоточив внимание на выявлении потенциально уязвимых маршрутизаторов Juniper. Особенности их деятельности включают:

  • Целевое использование самоподписанных сертификатов X.509;
  • Применение общедоступных VPN и прокси-сервисов для маскировки;
  • Исследование устройств с открытым портом NETCONF.

Это создаёт проблемы для защитников, затрудняя обнаружение таких атак.

Рекомендации для пользователей

В тексте содержатся рекомендации для пользователей маршрутизаторов корпоративного уровня по улучшению возможностей обнаружения подобных угроз:

  • Постоянный мониторинг аналитических данных об угрозах;
  • Совместное использование IOCs (Indicators of Compromise);
  • Поиск и блоги по обнаружению, предназначенные для выявления вредоносных программ на основе BPF, таких как cd00r.

Заключение

Кампания J-magic представляет собой сложную угрозу, направленную на маршрутизаторы Juniper, которые служат VPN-шлюзами. Она демонстрирует передовые технологии и способы уклонения, используемые хакерами для получения несанкционированного доступа к критически важной сетевой инфраструктуре.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: