• 🚨 29 мая стартует курс «Пентест Active Directory: от теории к практике» от Академии Кодебай

    🔍 Изучите реальные техники атак на инфраструктуру Active Directory: от первоначального доступа до полной компрометации.
    🛠️ Освойте инструменты, такие как BloodHound, Mimikatz, CrackMapExec и другие.
    🧪 Пройдите практические лабораторные работы, имитирующие реальные сценарии атак.
    🧠 Получите знания, которые помогут вам стать востребованным специалистом в области информационной безопасности.

    После старта курса запись открыта еще 10 дней Подробнее о курсе ...

  • Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

Заметка Атака 0 дня с помощью "волшебных" пакетов и уязвимости маршрутизаторов Juniper

Современные киберугрозы развиваются с невиданной скоростью, и появление таких изощренных атак, как кампания J-magic, подчеркивает необходимость пристального внимания к безопасности корпоративного сетевого оборудования. Исследования, проведенные Black Lotus Labs (Lumen Technologies), показали, что злоумышленники используют уязвимость magic packet в маршрутизаторах Juniper Networks, что ставит под угрозу критически важные инфраструктуры по всему миру.

1737671551000.webp

Кампания J-magic: основные факты

Название кампании происходит от функционала вредоносного ПО, который позволяет ему мониторить трафик TCP в поисках особого “магического пакета”, инициирующего выполнение вредоносного кода. Эта атака примечательна своей ориентацией на маршрутизаторы Juniper и редкостью разработок, направленных на операционную систему JunoOS (на базе FreeBSD).
Ключевые данные

Активность: с середины 2023 до середины 2024 года. Первые следы обнаружены в сентябре 2023 года.
Цели: отрасли полупроводников, энергетики, производства и информационных технологий (IT).
География: атаки зафиксированы в Европе, Азии и Южной Америке, включая Великобританию, США, Индонезию, Аргентину и Бразилию.


Как работает вредоносное ПО

1. Первичный доступ


Механизм изначального компрометации остается неустановленным, однако после проникновения злоумышленники внедряют модифицированную версию публично доступного бэкдора cd00r.

cd00r — это простая, но эффективная скрытая программа (backdoor), созданная для работы в UNIX-подобных системах. Она известна как один из примеров скрытного подхода к созданию бэкдоров, который демонстрирует принципы работы таких инструментов. cd00r привлекает внимание тем, что реализует интересный механизм скрытности, избегая записи в системный журнал (лог).

2. Активация магическим пакетом

После получения магического пакета агент:
• Отправляет вторичный запрос на подтверждение.
• Устанавливает обратное соединение с заданным IP-адресом и портом, предоставляя злоумышленникам полный контроль над устройством.

3. Защита от конкурирующих атак

Механизм challenge-response предотвращает использование скомпрометированных устройств другими злоумышленниками, что указывает на высокий уровень продуманности атаки.


Контекст и последствия

Кампания J-magic не является единичным случаем. Похожие атаки, такие как , направленные на устройства Barracuda ESG в 2022 году, демонстрируют растущую угрозу для периферийной инфраструктуры. Однако на данный момент прямых связей между этими кампаниями не выявлено.

SeaSpy — это инструмент (или вредоносная программа), разработанный для скрытного наблюдения и контроля в сетях или на устройствах. Обычно такие программы относят к классу сложных и скрытых угроз, предназначенных для использования в кибершпионаже. SeaSpy представляет интерес как пример скрытного подхода к сетевым атакам и атак на операционные системы.

Почему маршрутизаторы под ударом?

Длительное время работы: маршрутизаторы редко перезагружаются, что делает их удобной мишенью.
Отсутствие защиты EDR: сетевое оборудование не оснащено средствами обнаружения, аналогичными решениям для конечных устройств.
Ключевая роль в инфраструктуре: компрометация маршрутизаторов обеспечивает злоумышленникам плацдарм для последующих атак.
 
  • Нравится
Реакции: N1GGA
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Похожие темы

Курс AD