隐秘的恶意软件在企业 VPN 网关制造“魔法数据包”后门
流明科技威胁研究和运营部门 Black Lotus Labs 的研究人员发现,恶意软件 J-magic 活动活跃在2023年中期到至少2024年中期期间,旨在实现“低检测度和长期访问”。该恶意活动专门针对瞻博网络边缘设备,其中许多设备充当 VPN 网关,只有在网络流量中检测到“魔法数据包”时才会启动反向 shell。恶意软件攻击似乎针对的是半导体、能源、制造 (船舶、光伏电池板、重型机械) 和 IT 行业的组织,已发现至少36个组织网络被感染。
J-magic 会查找五个条件,如果数据包满足其中一个条件,就会生成反向 shell。但是,发送者必须先完成一个验证问题,才能访问受感染的设备。J-Magic 是轻量级后门程序,只运行在内存之中,这增加了其被安全软件检测出的难度。
—— Bleeping Computer
发表回复