Une campagne malveillante a ciblé spécifiquement les appareils Juniper Edge, dont beaucoup agissent comme des passerelles VPN, avec un logiciel malveillant baptisé J-magic qui démarre un shell inversé uniquement s’il détecte un “paquet magique” dans le trafic réseau.
Les attaques J-magic semblent cibler des organisations des secteurs des semi-conducteurs, de l’énergie, de la fabrication (marine, panneaux solaires, machinerie lourde) et de l’informatique.
Coque inversée protégée contre les défis
Le malware J-magic est une variante personnalisée de la porte dérobée cd00r accessible au public – une preuve de concept qui reste silencieuse et surveille passivement le trafic réseau pour un paquet spécifique avant d’ouvrir un canal de communication avec l’attaquant.
Selon des chercheurs de Black Lotus Labs, la branche de recherche et d’exploitation des menaces de Lumen, la campagne J-magic a été active entre la mi-2023 et au moins la mi-2024 et a été orchestrée pour “une faible détection et un accès à long terme.”
Sur la base de la télémétrie disponible, les chercheurs affirment qu’environ la moitié des appareils ciblés semblaient configurés comme une passerelle de réseau privé virtuel pour leur organisation.
De la même manière que cd00r, J-magic surveille le trafic TCP pour un paquet avec des caractéristiques spécifiques – ” paquet magique » – envoyé par l’attaquant. Pour ce faire, il crée un filtre eBPF sur l’interface et le port spécifiés en tant qu’argument de ligne de commande lors de l’exécution.
Les chercheurs de Black Lotus Labs affirment que le logiciel malveillant vérifie divers champs et compense les indices indiquant le bon paquet à partir d’une adresse IP distante.
J-magic recherche cinq conditions et si un paquet remplit l’une d’entre elles, il génère un shell inversé. Cependant, l’expéditeur doit résoudre un problème avant d’avoir accès à l’appareil compromis.
L’adresse IP distante reçoit une chaîne alphanumérique aléatoire de cinq caractères chiffrée avec une clé RSA publique codée en dur. Si la réponse reçue n’est pas égale à la chaîne d’origine, la connexion se ferme.
“Nous soupçonnons que le développeur a ajouté ce défi RSA pour empêcher d’autres acteurs de la menace de pulvériser sur Internet des paquets magiques pour énumérer les victimes, puis de simplement réutiliser les agents J-Magic à leurs propres fins » – Black Lotus Labs
Bien que l’activité partage des similitudes techniques avec le malware SeaSpy, également basé sur la porte dérobée cd00r, certaines différences rendent difficile l’établissement d’une connexion entre les deux campagnes.
Les deux logiciels malveillants recherchent cinq conditions magiques différentes. De plus, le J-magic incluait un certificat qui était utilisé dans le deuxième processus de vérification qui fournissait l’accès au shell.
Les chercheurs disent que sur la base de ces résultats, ils ont “une faible confiance dans la corrélation [de J-magic] avec la famille SeaSpy.”
La porte dérobée SeaSpy a été implantée sur les passerelles de sécurité de messagerie Barracuda après que des acteurs de la menace chinois ont exploité CVE-2023-2868 en tant que vulnérabilité zero-day depuis au moins octobre 2022.
L’auteur de la menace derrière SeaSpy, suivi en interne par Mandiant sous le numéro UNC4841, a violé les serveurs de messagerie des agences gouvernementales américaines.
Les chercheurs de Black Lotus Labs estiment que la campagne J-magic axée sur les routeurs Juniper montre que l’utilisation de ce type de malware devient de plus en plus une tendance.
En ciblant les routeurs de niveau entreprise avec des logiciels malveillants” magic packet », les auteurs de menaces peuvent rester non détectés pendant de plus longues périodes, car ces appareils sont rarement mis sous tension, les logiciels malveillants résident en mémoire et ces appareils manquent généralement d’outils de surveillance basés sur l’hôte.