J-Magic, a legújabb felfedezett hátsó ajtó, amely különböző iparágakat érintett, komoly aggodalmakat keltett a kiberbiztonság területén. A kutatók csütörtökön számoltak be arról, hogy ez a soha nem látott malware csendben terjedt el a Juniper Network Junos OS-t futtató vállalati VPN-ek között.
Hogyan működik a J-Magic?
A J-Magic egy passzív ügynököt használ, amely csak akkor aktiválódik, amikor megkap egy „varázscsomagot”. Ez a csomag rejtett formában érkezik a TCP forgalom normál áramlásán belül. Miután megkapta a varázscsomagot, a J-Magic egy kihívást küld a küldő eszköznek, amely egy titkosított szövegsorozat formájában érkezik, RSA kulcs nyilvános részével titkosítva.
A kihívás folyamata
A kezdeményező félnek meg kell válaszolnia a kihívásra a megfelelő világos szöveggel, ezzel bizonyítva, hogy hozzáférése van a titkos kulcshoz. A J-Magic ügynök csak a memóriában tartózkodik, ami megnehezíti a felfedezését, így a védelmi rendszerek számára nehezen észlelhető.
A kutatók a Lumin Technology Black Lotus Labjától megjegyezték: „Bár ez nem az első varázscsomag malware felfedezése, az utóbbi években csak néhány kampányt regisztráltunk.”
Az észlelési nehézségek
A J-Magic ügynök öt specifikus adatcsomag egyike alapján figyeli a bejövő TCP forgalmat, és ha a feltételek teljesülnek, akkor egy fordított shell indítására lép. A kutatók szerint a J-Magic aktív volt 2023 közepétől legalább 2024 közepéig, és 36 szervezet hálózatában futott.
További érdekességek
A varázscsomagok évek óta használatban vannak, és a J-Magic kampány átfedésben áll egy 2023-as kampánnyal is, amely a Barracuda levelezőszervereit célozta meg. A J-Magic és a SeaSpy egyaránt a cd00r nevű hátsó ajtóra épít, amelyet először 2000-ben adtak ki.
Érdekesség, hogy az RSA kulcs kihívás használata a J-Magic esetében valószínűleg arra szolgál, hogy megakadályozza más támadók számára a varázscsomagok széleskörű használatát a fertőzött hálózatok azonosítására.
Források: Lumin Technology Black Lotus Lab, Juniper Networks, VirusTotal
