J-magic backdoor vets reply before giving access to enterprise Juniper routers

ジュニパーのエッジ・デバイス(多くはVPNゲートウェイとして動作)を標的とした悪質なキャンペーンが発生している。J-magicと名付けられたこのマルウェアは、ネットワーク・トラフィックから「マジック・パケット」を検出した場合にのみリバース・シェルを開始する。

J-magicによる攻撃は、半導体、エネルギー、製造業(船舶、ソーラーパネル、重機)、IT分野の組織を標的としているようです。

チャレンジ保護されたリバースシェル

J-magicマルウェアは、一般に公開されているcd00rバックドアのカスタムバージョンで、攻撃者との通信チャネルを開く前に、沈黙を保ち、特定のパケットについて受動的にネットワークトラフィックを監視する概念実証です。

Lumenの脅威リサーチ・オペレーション部門であるBlack Lotus Labsの研究者によると、J-magicキャンペーンは2023年半ばから少なくとも2024年半ばの間に活動し、「低検出・長期アクセス」を目的として計画されました。

利用可能な遠隔測定に基づき、研究者によると、標的となったデバイスの約半数は、組織の仮想プライベート・ネットワーク・ゲートウェイとして設定されていたようだ。

cd00rと同様に、J-magicはTCPトラフィックを監視し、攻撃者が送信した特定の特徴を持つパケット(「マジック・パケット」)を探す。これは、実行時にコマンドラインの引数として指定されたインターフェースとポートにeBPFフィルターを作成することによって行われる。

J-magic setting up an eBPF filter on specific interface and port
J-magic eBPF filter to find magic packets
source:Black Lotus Labs

Black Lotus Labsの研究者によると、このマルウェアはリモートIPアドレスからの正しいパケットを示す手がかりのために、さまざまなフィールドとオフセットをチェックする。

J-magicは5つの条件を探し、パケットがそのうちの1つを満たすとリバースシェルを起動する。ただし、送信者は侵害されたデバイスにアクセスする前に課題を解決しなければならない。

J-magic conditions for the correct packet
J-magicマルウェアのマジックパケット条件
出典:Black Lotus Labs:Black Lotus Labs

リモートIPは、ハードコードされた公開RSAキーで暗号化されたランダムな5文字の英数字文字列を受信します。受信した応答が元の文字列と等しくない場合、接続は切断される。

「私たちは、開発者がこのRSAチャレンジを追加したのは、他の脅威アクターが被害者を列挙するためにマジックパケットをインターネットに散布し、その後単にJ-Magicエージェントを独自の目的のために再利用するのを防ぐためであると疑っています。

この活動は、同じくcd00rバックドアに基づくマルウェアSeaSpyと技術的な類似性を共有しているものの、いくつかの相違点により、2つのキャンペーンの関連性を確立することは困難です。

この2つのマルウェアは、5つの異なるマジック条件を探します。さらに、J-magicには、シェルアクセスを提供する2番目の検証プロセスで使用される証明書が含まれていた。

研究者たちは、これらの調査結果に基づき、”(J-magicと)SeaSpyファミリーの相関関係について低い確信を持っている “と述べています。

SeaSpyバックドアは、中国の脅威アクターが少なくとも2022年10月以降、ゼロデイ脆弱性としてCVE-2023-2868を悪用した後、バラクーダメールセキュリティゲートウェイに仕掛けられました。

SeaSpyの背後にいる脅威行為者は、Mandiant社内でUNC4841として追跡され、米国政府機関のメールサーバに侵入しました。

Black Lotus Labsの研究者は、ジュニパーのルーターに焦点を当てたJ-magicキャンペーンは、この種のマルウェアの使用がますますトレンドに変わりつつあることを示していると考えています。

マジック・パケット」マルウェアでエンタープライズ・グレードのルーターを標的にすることで、このようなデバイスの電源が切られることはほとんどなく、マルウェアはメモリに常駐し、これらのデバイスには通常ホスト・ベースの監視ツールがないため、脅威行為者はより長期間にわたって検知されない状態を維持することができます。