Juniper Networks-routers van ondernemingskwaliteit zijn het doelwit geworden van een aangepaste achterdeur als onderdeel van een zogenaamde campagne J-magie.
Volgens het Black Lotus Labs-team van Lumen Technologies is de activiteit zo genoemd vanwege het feit dat de achterdeur voortdurend controleert op een “magisch pakket” dat door de bedreigingsactor in TCP-verkeer wordt verzonden.
“De J-magic-campagne markeert de zeldzame gelegenheid van malware die speciaal is ontworpen voor JunoOS, die een vergelijkbare markt bedient maar afhankelijk is van een ander besturingssysteem, een variant van FreeBSD”, aldus het bedrijf in een rapport gedeeld met The Hacker News.
Uit door het bedrijf verzameld bewijsmateriaal blijkt dat het vroegste monster van de achterdeur dateert uit september 2023, waarbij de activiteit tussen medio 2023 en medio 2024 plaatsvond. De sectoren halfgeleiders, energie, productie en informatietechnologie (IT) waren het meest doelwit.
Er zijn infecties gemeld in heel Europa, Azië en Zuid-Amerika, waaronder Argentinië, Armenië, Brazilië, Chili, Colombia, Indonesië, Nederland, Noorwegen, Peru, het VK, de VS en Venezuela.
De campagne valt op door het inzetten van een agent nadat deze de eerste toegang heeft verkregen via een nog onbepaalde methode. De agent, een variant van een publiek beschikbare achterdeur genaamd cd00r, wacht op vijf verschillende vooraf gedefinieerde parameters voordat hij met zijn activiteiten begint.
Bij ontvangst van deze magische pakketten wordt de agent geconfigureerd om een secundaire uitdaging terug te sturen, waarna J-magic een omgekeerde shell tot stand brengt voor het IP-adres en de poort die in het magische pakket zijn gespecificeerd. Hierdoor kunnen de aanvallers het apparaat besturen, gegevens stelen of extra ladingen inzetten.
Lumen theoretiseerde dat het opnemen van de uitdaging een poging is van een deel van de tegenstander om te voorkomen dat andere bedreigingsactoren op willekeurige wijze magische pakketten uitgeven en de J-magische agenten opnieuw gebruiken om hun eigen doelstellingen te bereiken.
Het is vermeldenswaard dat een andere variant van cd00r, met de codenaam SEASPY, eind 2022 werd ingezet in verband met een campagne gericht op Barracuda Email Security Gateway (ESG)-apparaten.
Dat gezegd hebbende, is er in dit stadium geen bewijs dat de twee campagnes met elkaar in verband staan, en vertoont de J-magic-campagne ook geen tekenen dat deze overlapt met andere campagnes die gericht zijn op routers van ondernemingskwaliteit, zoals Jaguar Tooth en BlackTech (ook bekend als Canary Typhoon).
Een meerderheid van de potentieel getroffen IP-adressen zou Juniper-routers zijn die fungeren als VPN-gateways, terwijl een tweede, kleiner cluster bestaat uit clusters met een blootgestelde NETCONF-poort. Er wordt aangenomen dat de netwerkconfiguratie-apparaten mogelijk het doelwit zijn vanwege hun vermogen om routerconfiguratie-informatie en -beheer te automatiseren.
Nu routers worden misbruikt door nationale actoren die zich voorbereiden op vervolgaanvallen, onderstrepen de nieuwste bevindingen de voortdurende targeting van edge-infrastructuur, grotendeels gedreven door de lange uptime en een gebrek aan endpoint detectie en respons (EDR) bescherming in dergelijke apparaten.
“Een van de meest opvallende aspecten van de campagne is de focus op Juniper-routers”, aldus Lumen. “Hoewel we zware aanvallen op andere netwerkapparatuur hebben gezien, laat deze campagne zien dat aanvallers succes kunnen boeken door zich uit te breiden naar andere apparaattypen, zoals routers van bedrijfskwaliteit.”
