.
Quando os atores de ameaças usam malware de backdoor para obter acesso a uma rede, desejam garantir que todo o seu trabalho duro não possa ser alavancado por grupos concorrentes ou detectados pelos defensores. Uma contramedida é equipar o backdoor com um agente passivo que permanece inativo até receber o que é conhecido no negócio como um “pacote mágico”. Na quinta-feira, os pesquisadores revelaram que um backdoor nunca antes visto que silenciosamente assumiu dezenas de VPNs corporativas que executam o JuniS OS Junos OS da Juniper Network tem feito exatamente isso.
J-Magic, o nome de rastreamento do backdoor, vai um passo adiante para evitar o acesso não autorizado. Depois de receber um pacote mágico escondido no fluxo normal do tráfego TCP, ele retransmite um desafio para o dispositivo que o enviou. O desafio vem na forma de uma série de texto criptografada usando a parte pública de uma chave RSA. A parte inicial deve responder com o texto simples correspondente, provando que tem acesso à chave secreta.
Open gergelim
O backdoor leve também é notável porque residia apenas na memória, uma característica que dificulta a detecção para os defensores. A combinação levou os pesquisadores do Black Lotus Lab da Lumen Technology a se sentar e prestar atenção.
“Embora essa não seja a primeira descoberta de malware de pacotes mágicos, houve apenas algumas campanhas nos últimos anos”, os pesquisadores escreveu. “A combinação de direcionar os roteadores do Junos OS que servem como um gateway da VPN e a implantação de um agente de audição passiva apenas na memória, faz desta uma confluência interessante de negociação comercial digna de mais observação”.
Os pesquisadores encontraram J-Magic em VIRUSTOTAL e determinou que havia sido executado dentro das redes de 36 organizações. Eles ainda não sabem como o backdoor foi instalado. Veja como o pacote mágico funcionou:
O agente passivo é implantado para observar silenciosamente todo o tráfego TCP enviado para o dispositivo. Ele analisa discretamente os pacotes e relógios recebidos para um dos cinco conjuntos de dados específicos contidos neles. As condições são obscuras o suficiente para se misturar com o fluxo normal de tráfego que os produtos de defesa de rede não detectam uma ameaça. Ao mesmo tempo, eles são incomuns o suficiente para que não sejam encontrados no tráfego normal.
.
