Una campaña de malware se dirige específicamente a los dispositivos Juniper Edge, muchos de los cuales actúan como puertas de enlace VPN, con un malware llamado J-magic que inicia un shell inverso sólo si detecta un “paquete mágico” en el tráfico de la red.
Los ataques J-magic parecen tener como objetivo organizaciones en las industrias de semiconductores, energía, manufactura (marina, paneles solares, maquinaria pesada) y TI.
Casco invertido protegido contra desafíos.
El malware J-magic es una variante personalizada de la puerta trasera cd00r disponible públicamente: una prueba de concepto que permanece silenciosa y monitorea pasivamente el tráfico de la red en busca de un paquete específico antes de abrir un canal de comunicación con el atacante.
Según investigadores de Black Lotus Labs, el brazo de operaciones e investigación de amenazas de Lumen, la campaña J-magic estuvo activa entre mediados de 2023 y al menos mediados de 2024 y fue orquestada para “detección baja y acceso a largo plazo”.
Según la telemetría disponible, los investigadores dicen que aproximadamente la mitad de los dispositivos objetivo parecían estar configurados como una puerta de enlace de red privada virtual para su organización.
Al igual que cd00r, J-magic monitorea el tráfico TCP en busca de un paquete con características específicas (el “paquete mágico”) enviado por el atacante. Para ello, crea un filtro eBPF en la interfaz y el puerto especificados como argumento de la línea de comando cuando se ejecuta.
fuente: Laboratorios Lotus Noir
Los investigadores de Black Lotus Labs dicen que el malware verifica varios campos y compensaciones para encontrar pistas que indiquen que el paquete correcto proviene de una dirección IP remota.
J-magic busca cinco condiciones y si un paquete cumple una de ellas, genera un caparazón inverso. Sin embargo, el remitente debe resolver un problema antes de obtener acceso al dispositivo comprometido.
fuente: Laboratorios Lotus Noir
La dirección IP remota recibe una cadena alfanumérica aleatoria de cinco caracteres cifrada con una clave RSA pública codificada. Si la respuesta recibida no es igual a la cadena original, la conexión se cierra.
“Sospechamos que el desarrollador agregó este desafío RSA para evitar que otros actores maliciosos rocíen Internet con paquetes mágicos para enumerar a las víctimas y luego simplemente reutilicen los agentes J-Magic para sus propios fines” – Black Lotus Labs
Aunque la actividad comparte similitudes técnicas con el malware SeaSpy, también basado en la puerta trasera cd00r, algunas diferencias dificultan la vinculación de las dos campañas.
Ambos malware buscan cinco condiciones mágicas diferentes. Además, J-magic incluía un certificado que se utilizó en el segundo proceso de verificación que proporcionaba acceso al shell.
Los investigadores dicen que, basándose en estos resultados, tienen “baja confianza en la correlación [of J-magic] a la familia SeaSpy.
La puerta trasera SeaSpy se implementó en las puertas de enlace de seguridad de correo electrónico de Barracuda después de que actores de amenazas chinos explotaran CVE-2023-2868 como una vulnerabilidad de día cero desde al menos octubre de 2022.
El actor de amenazas detrás de SeaSpy, rastreado internamente por Mandiant como UNC4841, pirateó los servidores de correo electrónico de agencias gubernamentales de EE. UU.
Los investigadores de Black Lotus Labs creen que la campaña J-magic centrada en los routers Juniper demuestra que el uso de este tipo de malware se está convirtiendo cada vez más en una tendencia.
Al atacar los enrutadores empresariales con malware de “paquete mágico”, los delincuentes pueden pasar desapercibidos durante períodos de tiempo más largos porque estos dispositivos rara vez se reinician, el malware reside en la memoria y estos dispositivos generalmente carecen de herramientas de monitoreo basadas en host.