سواستفاده از آسیبپذیری Magic Packet در روترهای Juniper با Backdoor خاص
اخبار داغ فناوری اطلاعات و امنیت شبکه
روترهای سازمانی Juniper Networks بهعنوان بخشی از کمپین موسوم به J-magic به هدف یک Backdoor سفارشی تبدیل شدهاند.
طبق گفته تیم Black Lotus Labs در Lumen Technologies، این فعالیت به این دلیل نامگذاری شده است که Backdoor به طور مداوم برای یک "پکت جادویی" ارسال شده توسط عامل تهدید در ترافیک TCP نظارت میکند.
این شرکت در گزارشی که منتشر نموده، میگوید: «کمپین J-magic در موقعیت نادر بدافزاری است که بهطور خاص برای سیستمعامل Junos OS طراحی شده که مخاطب مشابهی را هدف میگیرد میکند، اما متکی به یک سیستمعامل متفاوت، نوعی از FreeBSD است».
شواهد جمعآوری شده توسط این شرکت نشان میدهد که اولین نمونه از backdoor به سپتامبر ٢٠٢٣ باز میگردد که فعالیت بین اواسط سال ٢٠٢٣ تا اواسط سال ٢٠٢٤ ادامه داشته است. بخشهایی از صنعت شامل نیمههادی، انرژی، تولید و فناوری اطلاعات (IT) بیشترین هدف این حملات بودهاند.
آلودگی در سراسر اروپا، آسیا و آمریکای جنوبی ازجمله آرژانتین، ارمنستان، برزیل، شیلی، کلمبیا، اندونزی، هلند، نروژ، پرو، ایران، بریتانیا، ایالات متحده و ونزوئلا گزارش شده است.
این کمپین به دلیل استقرار یک ایجنت پس از دستیابی بهدسترسی اولیه از طریق روشی که هنوز مشخص نشده است، بسیار جالب توجه است. ایجنت، گونهای از backdoor تقریبا ٢۵ ساله و در دسترس عموم به نام cd00r است که قبل از شروع عملیات خود منتظر پنج پارامتر مختلف از پیش تعریفشده میباشد.
هنگام دریافت این پکتهای جادویی، ایجنت برای ارسال یک چالش ثانویه پیکربندی میشود که بهدنبال آن J-magic یک reverse shell به آدرس IP و پورت مشخص شده در پکت جادویی ایجاد میکند. این امر، به مهاجمان امکان میدهد دستگاه را کنترل کنند، دادهها را سرقت کنند یا payloadهای اضافی را مستقر کنند.
لومن این نظریه را مطرح کرد که گنجاندن چالش، تلاشی از جانب مهاجمان برای جلوگیری سایر عوامل تهدید از انتشار پکتهای جادویی به شیوهای بیرویه و استفاده مجدد از عوامل J-magic برای رسیدن به اهداف خود است.
لازم به ذکر است که نوع دیگری از cd00r با کد SEASPY در ارتباط با کمپینی با هدف ابزارهای گیتوی امنیتی ایمیل Barracuda (ESG) در اواخر سال ٢٠٢٢ بهکار گرفته شده است.
با این اوصاف، در این مرحله هیچ مدرکی برای ارتباط این دو کمپین وجود ندارد، همچنین کمپین J-magic هیچ نشانهای مبنی بر همپوشانی آن با سایر کمپینهایی که روترهای سازمانی مانند جگوار توث (Jaguar Tooth) و بلکتک (BlackTech؛ معروف به Canary Typhoon) را هدف قرار میدهند، نشان نمیدهد.
گفته میشود که اکثر آدرسهای IP بالقوه تحتتاثیر روترهای Juniper هستند که بهعنوان گیتویهای VPN عمل میکنند و کلاستر دوم کوچکتر شامل آنهایی است که دارای پورت NETCONF در معرض دید هستند. اعتقاد بر این است که دستگاههای پیکربندی شبکه ممکن است به دلیل توانایی آنها در خودکارسازی اطلاعات پیکربندی و مدیریت روتر مورد هدف قرارگرفته باشند.
با سواستفاده روترها توسط مهاجمان ملی-دولتی که برای حملات بعدی آماده میشوند، آخرین یافتهها بر ادامه هدفگیری زیرساختهای لبه شبکه تاکید میکند، که عمدتا ناشی از زمان طولانی کار و فقدان محافظتهای تشخیص و پاسخ نقطه پایانی (EDR) در چنین دستگاههایی است.
لومن گفت: «یکی از قابلتوجهترین جنبههای این کمپین، تمرکز بر روترهای Juniper است. درحالیکه ما شاهد هدفگیری سنگین سایر تجهیزات شبکه بودیم، این کمپین نشان میدهد که مهاجمان میتوانند موفقیت خود را در انواع دیگر دستگاهها مانند روترهای سطح سازمانی گسترش دهند».
برچسب ها: پکت جادویی, BlackTech, Jaguar Tooth, SEASPY, cd00r, J-magic, Junos OS, Gateway, reverse shell, magic packet, Juniper Networks, Juniper, cybersecurity, آسیبپذیری, Vulnerability, router, FreeBSD , جاسوسی سایبری, روتر, backdoor, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news