Sicherheitsforscher entdecken neue Malware namens J-MagicDie Malware lauscht dem Datenverkehr in Erwartung eines „magischen Pakets“Sobald das magische Paket erkannt wird, initiiert J-Magic die Bereitstellung eines Backdoors

Experten warnen davor, dass Hacker Unternehmen in den Bereichen Halbleiter, Energie, Fertigung und IT mit einer einzigartigen Malware namens J-Magic ins Visier nehmen.Ein neuer Bericht des Black Lotus Teams bei Lumen Technologies enthüllte, dass nicht näher benannte Bedrohungsakteure cd00r umfunktioniert haben – ein heimlicher Backdoor-Trojaner, der entwickelt wurde, um unbefugten Zugriff auf ein System zu ermöglichen und ursprünglich als Open-Source-Konzept zu Ausbildungszwecken im Bereich Cybersicherheit entwickelt wurde. Der umfunktionierte Trojaner namens „J-Magic“ wurde auf Juniper-Routern der Unternehmensklasse eingesetzt, die als VPN-Gateways fungieren. Die Forscher wissen nicht, wie die Endpunkte infiziert wurden, aber in jedem Fall lag der Trojaner still, bis die Angreifer ihm ein „magisches“ TCP-Paket schickten.
SeaSpy2 und cd00r
„Wenn einer dieser Parameter oder ‚magischen Pakete‘ empfangen wird, sendet der Agent eine sekundäre Herausforderung zurück. Sobald diese Herausforderung abgeschlossen ist, erstellt J-Magic eine Reverse-Shell im lokalen Dateisystem, was den Betreibern ermöglicht, das Gerät zu steuern, Daten zu stehlen oder bösartige Software bereitzustellen“, erklärten die Forscher. Die Kampagne wurde erstmals im September 2023 entdeckt und dauerte bis etwa Mitte 2024. Black Lotus konnte nicht feststellen, wer die Bedrohungsakteure waren, stellte jedoch fest, dass Elemente der Aktivitäten „einige technische Indikatoren“ mit einem Teil früherer Berichte über eine Malware-Familie namens SeaSpy2 teilten. „Wir haben jedoch nicht genügend Datenpunkte, um diese beiden Kampagnen mit hoher Zuversicht zu verknüpfen“, sagten sie. In jedem Fall basiert auch SeaSpy2 auf cd00r und arbeitet ähnlich – indem es nach magischen Paketen scannt. Diese dauerhafte, passive Backdoor tarnt sich als legitimer Barracuda-Dienst namens „BarracudaMailService“ und ermöglicht es Bedrohungsakteuren, beliebige Befehle auf kompromittierten Barracuda Email Security Gateway (ESG)-Geräten auszuführen. SeaSpy wurde anscheinend von UNC4841, einem chinesischen Bedrohungsakteur, entwickelt. Via BleepingComputer