روترهای Juniper Networks در سطح سازمانی بهعنوان بخشی از کمپین موسوم به J-Magic به هدف یک درب پشتی سفارشی تبدیل شدهاند.
طبق گفته تیم Black Lotus Labs در Lumen Technologies، این فعالیت به این دلیل نامگذاری شده است که درب پشتی بهطور مداوم برای یک “بسته جادویی” ارسالشده توسط عامل تهدید در ترافیک TCP نظارت میکند.
این شرکت در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت[۱]: “کمپین J-magic، مناسبت نادر بدافزاری است که بهطور خاص برای سیستمعامل Junos OS طراحی شده است، که بازار مشابهی را ارائه میدهد، اما متکی به یک سیستمعامل متفاوت از نوع FreeBSD است.”
شواهد جمعآوریشده توسط این شرکت نشان میدهد که اولین نمونه از درب پشتی به سپتامبر ۲۰۲۳ باز میگردد که فعالیت بین اواسط سال ۲۰۲۳ تا اواسط سال ۲۰۲۴ ادامه دارد. بخشهای نیمههادی، انرژی، تولید و فناوری اطلاعات (IT) بیشترین هدف را داشتند.
آلودگی در سراسر اروپا، آسیا و آمریکای جنوبی ازجمله آرژانتین، ارمنستان، برزیل، شیلی، کلمبیا، اندونزی، هلند، نروژ، پرو، بریتانیا، ایالاتمتحده و ونزوئلا گزارش شده است.
این کمپین به دلیل استقرار یک عامل پس از دستیابی به دسترسی اولیه از طریق روشی که هنوز مشخص نشده است، قابلتوجه است. عامل، نوعی از یک درب پشتی تقریباً ۲۵ ساله و در دسترس عموم به نام [۲]cd00r، قبل از شروع عملیات خود منتظر پنج پارامتر مختلف از پیش تعریف شده است.
هنگام دریافت این بستههای جادویی، این عامل برای ارسال یک چالش ثانویه پیکربندی میشود که به دنبال آن J-magic یک پوسته معکوس به آدرس IP و پورت مشخصشده در بسته جادویی ایجاد میکند. این به مهاجمان امکان میدهد دستگاه را کنترل کنند، دادهها را سرقت یا بارهای اضافی را مستقر کنند.
لومن این نظریه را مطرح کرد که گنجاندن چالش تلاشی از جانب دشمن برای جلوگیری از سایر عوامل تهدیدکننده از انتشار بستههای جادویی به شیوهای بیرویه و استفاده مجدد از عوامل J-magic برای رسیدن به اهداف خود است[۳].
شایانذکر است که نوع دیگری از cd00r، با نام رمز [۴]SEASPY، در ارتباط با کمپینی با هدف ابزارهای Barracuda Email Security Gateway (ESG) در اواخر سال ۲۰۲۲ به کار گرفته شد.
با این اوصاف، در این مرحله هیچ مدرکی برای اتصال این دو کمپین وجود ندارد، و همچنین کمپین J-magic هیچ نشانهای از همپوشانی آن با سایر کمپینهایی که روترهای درجه یک سازمانی مانند [۵]Jaguar Tooth و [۶]BlackTech (معروف به Canary Typhoon) را هدف قرار میدهند، نشان نمیدهد.
گفته میشود که اکثر آدرسهای IP بالقوه تحت تأثیر روترهای Juniper هستند که بهعنوان VPN gateway ها عمل میکنند، با خوشه دوم کوچکتر شامل آنهایی که دارای پورت [۷]NETCONF در معرض دید هستند. اعتقاد بر این است که دستگاههای پیکربندی شبکه ممکن است به دلیل توانایی آنها در خودکارسازی اطلاعات پیکربندی و مدیریت روتر مورد هدف قرارگرفته باشند.
با سوءاستفاده روترها توسط بازیگران تحت حمایت دولتها که برای حملات بعدی آماده میشوند، آخرین یافتهها بر ادامه هدفگذاری زیرساختهای edge تأکید میکند[۸]، که عمدتاً ناشی از زمان طولانی کار و فقدان محافظتهای تشخیص و پاسخ نقطه پایانی (EDR) در چنین دستگاههایی است.
لومن گفت: «یکی از قابلتوجهترین جنبههای این کمپین، تمرکز بر روترهای Juniper است. درحالیکه ما شاهد هدفگیری سنگین سایر تجهیزات شبکه بودیم، این کمپین نشان میدهد که مهاجمان میتوانند موفقیت خود را در انواع دیگر دستگاهها مانند روترهای درجه سازمانی گسترش دهند.»
منابع
[۱] https://blog.lumen.com/the-j-magic-show-magic-packets-and-where-to-find-them
[۲] https://packetstormsecurity.com/files/22121/cd00r.c.html
[۳] https://thehackernews.com/2024/12/secret-blizzard-deploys-kazuar-backdoor.html
[۴] https://thehackernews.com/2023/06/chinese-unc4841-group-exploits-zero-day.html
[۵] https://thehackernews.com/2023/04/us-and-uk-warn-of-russian-hackers.html
[۶] https://thehackernews.com/2023/09/chinas-blacktech-hacking-group.html
[۷] https://www.juniper.net/documentation/us/en/software/junos/netconf/index.html
[۸] https://thehackernews.com/2024/06/china-backed-hackers-exploit-fortinet.html
[۹] https://thehackernews.com/2025/01/custom-backdoor-exploiting-magic-packet.html
ثبت ديدگاه