Los enrutadores de Networks Juniper de grado empresarial se han convertido en el objetivo de una puerta trasera personalizada como parte de una campaña doblada J-mágico.
Según el equipo de Black Lotus Labs en Lumen Technologies, la actividad se llama así por el hecho de que la puerta trasera monitorea continuamente para un “paquete mágico” enviado por el actor de amenaza en el tráfico de TCP.
“La campaña J-Magic marca las raras ocasiones de malware diseñado específicamente para Junoos, que sirve a un mercado similar pero se basa en un sistema operativo diferente, una variante de FreeBSD”, la compañía dicho En un informe compartido con The Hacker News.
La evidencia reunida por la compañía muestra que la primera muestra de la puerta trasera se remonta a septiembre de 2023, con la actividad en curso entre mediados de 2023 y mediados de 2014. Los sectores de semiconductores, energía, fabricación y tecnología de la información (TI) fueron los más dirigidos.
Se han informado infecciones en Europa, Asia y América del Sur, incluidas Argentina, Armenia, Brasil, Chile, Colombia, Indonesia, Países Bajos, Noruega, Perú, el Reino Unido, los Estados Unidos y Venezuela.
La campaña es notable por implementar un agente después de obtener el acceso inicial a través de un método aún no detectado. El agente, una variante de una puerta trasera disponible públicamente conocida como CD00Respera cinco parámetros predefinidos diferentes antes de comenzar sus operaciones.
Al recibir estos paquetes mágicos, el agente está configurado para enviar un desafío secundario, después de lo cual J-Magic establece un shell inverso a la dirección IP y al puerto especificado en el paquete mágico. Esto permite a los atacantes controlar el dispositivo, robar datos o implementar cargas útiles adicionales.
Lumen teorizó que la inclusión del desafío es un intento por parte del adversario para evitar que otros actores de amenazas emitan paquetes mágicos de manera indiscriminada y reutilice a los agentes J-Magic para cumplir con sus propios objetivos.
Vale la pena señalar que otra variante de CD00R, Codenomed Seaspy, se implementó en relación con una campaña dirigida a los electrodomésticos Barracuda Correo electrónico de seguridad de seguridad (ESG) a fines de 2022.
Dicho esto, no hay evidencia en esta etapa para conectar las dos campañas, ni la campaña J-Magic demuestra ninguna señal de que se superpone con otras campañas dirigidas a enrutadores de grado empresarial como Jaguar Tooth y BlackTech (también conocido como Typhoon Canary).
Se dice que la mayoría de las direcciones IP potencialmente afectadas son los enrutadores de enebro que actúan como puertas de enlace VPN, con un segundo clúster más pequeño que comprende aquellos con un expuesto Puerto netconf. Se cree que los dispositivos de configuración de red pueden haber sido dirigidos a su capacidad para automatizar la información y la gestión de la configuración del enrutador.
Dado que los enrutadores son abusados por los actores del estado-nación que se preparan para ataques de seguimiento, los últimos hallazgos subrayan la orientación continua de la infraestructura de borde, en gran parte impulsada por el largo tiempo y la falta de protecciones de detección y respuesta de punto final (EDR) en tales dispositivos.
“Uno de los aspectos más notables de la campaña es el enfoque en los enrutadores de enebro”, dijo Lumen. “Si bien hemos visto una gran orientación de otros equipos de redes, esta campaña demuestra que los atacantes pueden encontrar el éxito en expansión a otros tipos de dispositivos, como los enrutadores de grado empresarial”.
About the Author
