秘密后门使用“魔法封包”感染企业VPN
安全公司Lumin Technology的研究人员发现,一种名为J-Magic的后门程序通过“魔法封包”技术感染了数十个运行Juniper Network Junos OS的企业VPN。J-Magic是一种轻量级后门程序,仅存在于内存中,增加了被安全软件检测的难度。
J-Magic后门通过被动代理监听TCP流量中的“魔法封包”,一旦接收到特定条件的数据包,便会激活反向shell,使攻击者能够控制设备、窃取数据或部署额外恶意软件。攻击者还设置了RSA加密的挑战-响应机制,以防止其他威胁行为者滥用该后门。
J-Magic活动从2023年中期持续至2024年中期,主要针对半导体、能源、制造和信息技术行业的企业。研究人员在VirusTotal上发现了该后门,确认其在36个组织的网络中运行,但尚不清楚后门是如何安装的。
由于J-Magic仅存在于内存中,且依赖被动监听机制,传统安全工具难以检测。企业需加强网络流量监控,特别是对边缘设备(如VPN网关)的保护,以防止类似攻击。
#后门 #VPN #安全 #网络
安全公司Lumin Technology的研究人员发现,一种名为J-Magic的后门程序通过“魔法封包”技术感染了数十个运行Juniper Network Junos OS的企业VPN。J-Magic是一种轻量级后门程序,仅存在于内存中,增加了被安全软件检测的难度。
J-Magic后门通过被动代理监听TCP流量中的“魔法封包”,一旦接收到特定条件的数据包,便会激活反向shell,使攻击者能够控制设备、窃取数据或部署额外恶意软件。攻击者还设置了RSA加密的挑战-响应机制,以防止其他威胁行为者滥用该后门。
J-Magic活动从2023年中期持续至2024年中期,主要针对半导体、能源、制造和信息技术行业的企业。研究人员在VirusTotal上发现了该后门,确认其在36个组织的网络中运行,但尚不清楚后门是如何安装的。
由于J-Magic仅存在于内存中,且依赖被动监听机制,传统安全工具难以检测。企业需加强网络流量监控,特别是对边缘设备(如VPN网关)的保护,以防止类似攻击。
#后门 #VPN #安全 #网络
