De zogenaamde ‘J-Magic’-malware installeert een backdoor op routers van Juniper Networks en richt zich specifiek op het JunoOS-besturingssysteem. Doelwitten zijn vooral bedrijven in de chipindustrie, IT-sector en energiesector in Europa en Latijns-Amerika.
Onderzoekers van Black Lotus Labs, de beveiligingsdivisie van Lumen Technologies, ontdekten dat routers van Juniper Networks tussen halverwege 2023 en 2024 werden aangevallen met doelgerichte malware. Deze ‘J-Magic’-malware is een variant van de open-source ‘cd00r’ backdoor en vormt de basis voor een zogeheten ‘reverse shell’-aanval.
De malware voert vijf verschillende controles uit op vooraf ingestelde parameters voordat deze wordt geactiveerd. Zodra het getroffen systeem een van deze parameters of ‘magic packets’ ontvangt, stuurt de malware een bevestigingsverzoek. Na bevestiging installeert J-Magic een reverse shell op het lokale bestandssysteem, waarmee aanvallers het apparaat, in dit geval de routers, kunnen overnemen. Via deze gecompromitteerde routers kunnen data worden gestolen of andere malware worden verspreid. De malware richt zich met name op JunoOS, het besturingssysteem van Juniper Networks.
Doelwitten in Europa en Latijns-Amerika
Volgens de onderzoekers worden vooral routers die als VPN-gateway zijn geconfigureerd door de malware aangevallen. Ongeveer de helft van de gecompromitteerde routers viel in deze categorie. J-Magic is gericht op bedrijven in sectoren zoals chipproductie, maakindustrie, IT en energie, waarbij bedrijven in Europa en Latijns-Amerika specifieke doelwitten zijn. De aanvallen kunnen mogelijk deel uitmaken van een grotere verkenningscampagne.
De onderzoekers stellen dat de aangetroffen malware overeenkomsten vertoont met een eerdere cd00r-variant genaamd SeaSpy, die specifiek was gericht op Email Security Gateways van Barracuda Networks. Ondanks enkele overeenkomsten gaan de onderzoekers ervan uit dat de J-Magic-campagne een zelfstandige operatie is.
Lees meer: Update: Barracuda Gateways opnieuw getroffen door beveiligingslek
Netwerkapparatuur vaker doelwit
Volgens Black Lotus Labs worden aanvallen op routers een steeds grotere uitdaging voor bedrijven. In plaats van zich te richten op eindgebruikersapparaten, zijn hackers steeds meer gefocust op netwerkapparatuur. Deze apparaten hebben vaak minder beveiligingsmaatregelen en kunnen aanzienlijke toegang bieden tot bedrijfsnetwerken.
Malware voor netwerkapparaten wordt bovendien steeds geavanceerder en beter verborgen, met als doel langdurige aanwezigheid. Vaak nestelt deze malware zich in het geheugen, wat detectie bemoeilijkt en langdurige toegang mogelijk maakt. Vooral netwerkapparaten aan de rand van bedrijfsnetwerken, zoals VPN-gateways, zijn geliefde doelwitten. Bedrijven doen er goed aan hun beveiligingsinspanningen ook op deze apparaten te richten.
Het is momenteel onduidelijk of er een patch beschikbaar is voor deze kwetsbaarheid in Juniper-routers.
Lees ook: Juniper-kwetsbaarheid maakt overname routers mogelijk, patch beschikbaar