Kampanye jahat telah secara khusus menargetkan perangkat Juniper edge, banyak yang bertindak sebagai gateway VPN, dengan malware yang dijuluki J-magic yang memulai reverse shell hanya jika mendeteksi “paket ajaib” dalam lalu lintas jaringan.
Serangan J-magic tampaknya menargetkan organisasi di sektor semikonduktor, energi, manufaktur (kelautan, panel surya, mesin berat), dan TI.
Cangkang terbalik yang dilindungi tantangan
Malware J-magic adalah varian khusus dari pintu belakang cd00r yang tersedia untuk umum – sebuah bukti konsep yang tetap diam dan secara pasif memantau lalu lintas jaringan untuk paket tertentu sebelum membuka saluran komunikasi dengan penyerang.
Menurut para peneliti di Black Lotus Labs, bagian penelitian dan operasi ancaman Lumen, kampanye J-magic aktif antara pertengahan tahun 2023 dan setidaknya pertengahan tahun 2024 dan dirancang untuk “deteksi rendah dan akses jangka panjang.”
Berdasarkan telemetri yang tersedia, para peneliti mengatakan bahwa sekitar setengah dari perangkat yang ditargetkan tampaknya dikonfigurasi sebagai gateway jaringan pribadi virtual untuk organisasi mereka.
Mirip dengan cd00r, J-magic mengawasi lalu lintas TCP untuk paket dengan karakteristik khusus – “paket ajaib” – yang dikirim oleh penyerang. Hal ini dilakukan dengan membuat filter eBPF pada antarmuka dan port yang ditentukan sebagai argumen baris perintah saat dijalankan.
sumber: Lab Teratai Hitam
Peneliti Black Lotus Labs mengatakan malware tersebut memeriksa berbagai bidang dan mengimbangi petunjuk yang menunjukkan paket yang benar dari alamat IP jarak jauh.
J-magic mencari lima kondisi dan jika sebuah paket memenuhi salah satu dari kondisi tersebut, paket tersebut akan memunculkan shell terbalik. Namun, pengirim harus menyelesaikan tantangan sebelum mendapatkan akses ke perangkat yang disusupi.
sumber: Lab Teratai Hitam
IP jarak jauh menerima string alfanumerik lima karakter acak yang dienkripsi dengan kunci RSA publik yang dikodekan secara keras. Jika respons yang diterima tidak sama dengan string asli, koneksi akan ditutup.
“Kami menduga pengembang telah menambahkan tantangan RSA ini untuk mencegah pelaku ancaman lain menyemprot internet dengan paket ajaib untuk menghitung korban dan kemudian menggunakan kembali agen J-Magic untuk tujuan mereka sendiri” – Black Lotus Labs
Meskipun aktivitas tersebut memiliki kesamaan teknis dengan malware SeaSpy, yang juga didasarkan pada pintu belakang cd00r, beberapa perbedaan mempersulit pembuatan koneksi antara kedua kampanye tersebut.
Kedua malware tersebut mencari lima kondisi ajaib yang berbeda. Selain itu, J-magic menyertakan sertifikat yang digunakan dalam proses verifikasi kedua yang menyediakan akses shell.
Para peneliti mengatakan bahwa berdasarkan temuan ini, mereka “memiliki keyakinan yang rendah terhadap korelasi tersebut [of J-magic] kepada keluarga SeaSpy.”
Itu Pintu belakang SeaSpy ditanam di Gerbang Keamanan Email Barracuda setelah pelaku ancaman Tiongkok mengeksploitasi CVE-2023-2868 sebagai kerentanan zero-day setidaknya sejak Oktober 2022.
Aktor ancaman di balik SeaSpy, yang dilacak secara internal oleh Mandiant sebagai UNC4841, server email yang dilanggar dari lembaga-lembaga pemerintah AS.
Peneliti Black Lotus Labs percaya bahwa kampanye J-magic yang berfokus pada router Juniper menunjukkan bahwa penggunaan malware jenis ini semakin menjadi tren.
Dengan menargetkan router tingkat perusahaan dengan malware “paket ajaib”, pelaku ancaman dapat tetap tidak terdeteksi untuk jangka waktu yang lebih lama karena perangkat tersebut jarang mengalami siklus daya, malware berada di memori, dan perangkat ini biasanya tidak memiliki alat pemantauan berbasis host.
