HackerNews 编译，转载请注明出处： 在一场名为“J-magic”的攻击活动中，企业级Juniper Networks路由器成为了定制后门的攻击目标。 据Lumen Technologies旗下的Black Lotus Labs团队称，该活动之所以得名如此，是因为后门程序会不断监测威胁行为者在TCP流量中发送的“魔术包”。 该公司在向The Hacker News提供的一份报告中表示：“J-magic活动标志着专为JunoOS设计的恶意软件罕见出现，JunoOS服务于类似市场，但依赖于FreeBSD的一个变种操作系统。” 公司收集的证据显示，该后门程序的最早样本可追溯至2023年9月，活动持续时间为2023年中至2024年中。半导体、能源、制造和信息技术（IT）行业是最主要的攻击目标。 欧洲、亚洲和南美洲均有感染报告，包括阿根廷、亚美尼亚、巴西、智利、哥伦比亚、印度尼西亚、荷兰、挪威、秘鲁、英国、美国和委内瑞拉。 该活动的一个显著特点是，在通过尚未确定的方法获得初步访问权限后，会部署一个代理。该代理是公开可用的后门程序cd00r的一个变种，在开始操作前会等待五个不同的预定参数。 在收到这些“魔术包”后，代理程序被配置为发送一个二级挑战，随后J-magic在与魔术包中指定的IP地址和端口建立反向shell。这使得攻击者能够控制设备、窃取数据或部署额外的有效载荷。 Lumen推测，挑战环节的加入是攻击者试图防止其他威胁行为者随意发送魔术包，并将J-magic代理用于实现自身目标。 值得注意的是，cd00r的另一个变种，代号为SEASPY，在2022年末针对Barracuda Email Security Gateway（ESG）设备的活动中被部署。 不过，目前尚无证据表明这两场活动有关联，J-magic活动也没有显示出与针对企业级路由器（如Jaguar Tooth和BlackTech（又名Canary Typhoon））的其他活动有任何重叠迹象。 据说，大多数可能受影响的IP地址是作为VPN网关的Juniper路由器，另一个较小的集群则是暴露NETCONF端口的设备。据信，网络配置设备因其能够自动化路由器配置信息和管理而成为攻击目标。 随着路由器被用于国家行为者策划后续攻击，最新发现强调了边缘基础设施持续成为攻击目标的情况，这主要归因于此类设备的长时间运行以及缺乏端点检测和响应（EDR）保护。 Lumen表示：“该活动最引人注目的方面之一是专注于Juniper路由器。虽然我们已经看到其他网络设备受到严重攻击，但这场活动表明，攻击者能够成功地将攻击范围扩大到其他设备类型，如企业级路由器。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员通过注册用于控制后门程序的过期域名，成功劫持了4000多个虽被遗弃但仍活跃的网站后门，并使其通信基础设施陷入瘫痪。 部分活跃的恶意软件（网络后门）被部署在高调目标（包括政府和大学系统）的服务器上，一旦有人控制这些通信域名，便能执行指令。 攻击安全机构WatchTowr Labs与Shadowserver基金会合作，阻止这些域名及其对应的受害者落入恶意行为者之手。 发现数千个被突破的系统 后门是指被植入受攻击系统中的恶意工具或代码，允许未经授权的远程访问和控制。威胁行为者通常利用后门进行持续访问，并在受攻击系统中执行进一步攻击的指令。 WatchTowr研究人员开始搜索各种网络后门中的域名，并购买其中已过期的域名，从而基本上控制了这些后门。 在建立日志系统后，这些被遗弃但仍活跃的恶意软件开始发送请求，使研究人员能够识别出至少部分受害者。 通过注册40多个域名，研究人员收到来自4000多个被突破系统的通信尝试，这些系统试图“回连”到攻击者。 注册域名示例（来源：WatchTowr） 研究人员发现了多种后门类型，包括“经典”的r57shell、功能更强大的c99shell（提供文件管理和暴力破解功能）以及常与APT组织相关联的“中国菜刀”网络后门。 报告中甚至提到一个后门展现出与Lazarus组织相关的行为，但随后澄清这很可能是其他行为者重用了该威胁行为者的工具。 在被突破的机器中，WatchTowr发现了中国政府机构（包括法院）中的多个系统、被攻破的尼日利亚政府司法系统以及孟加拉国政府网络中的系统。 此外，泰国、中国和韩国的教育机构中也发现了受感染的系统。 WatchTowr将劫持域名的管理责任移交给Shadowserver基金会，以确保这些域名未来不会被恶意接管。Shadowserver目前正在将所有来自被突破系统的流量吸引到其域名的陷阱中。 WatchTowr的研究虽然并不复杂，但表明恶意软件运营中的过期域名仍可能为新网络犯罪分子所用，他们只需注册控制域名便能获取一些受害者。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

攻击者正在使用Eval PHP，一个过时的WordPress插件，通过注入隐蔽的后门来破坏网站。 Eval PHP是一个废弃的WordPress插件，它允许网站管理员在WordPress网站的页面和文章中嵌入PHP代码，然后在浏览器中打开页面时执行该代码。 该插件在过去十年中没有更新，被默认为是废弃软件，但它仍然可以通过WordPress的插件库下载。 据网站安全公司Sucuri称，使用Eval PHP在WordPress页面上嵌入恶意代码的迹象在2023年4月激增，现在WordPress插件平均每天有4000个恶意安装。 与传统的后门注入相比，这种方法的主要优点是，Eval PHP可以被重新使用，以重新感染被清理过的网站，而且相对隐蔽。 隐蔽的数据库注入 在过去几周检测到的PHP代码注入为攻击者提供了一个后门，使攻击者对被攻击的网站具有远程代码执行能力。 恶意代码被注入到目标网站的数据库中，特别是 “wp_posts “表中。这使得它更难被发现，因为它逃避了标准的网站安全措施，如文件完整性监控、服务器端扫描等。 为了做到这一点，攻击者使用一个被破坏的或新创建的管理员账户来安装Eval PHP，允许他们使用[evalphp]短代码将PHP代码插入被破坏网站的页面中。 一旦代码运行，则将后门（3e9c0ca6bbe9.php）放置在网站根部。后门的名称在不同的攻击中可能有所不同。 恶意的Eval PHP插件安装是由以下IP地址触发的： 91.193.43.151 79.137.206.177 212.113.119.6 该后门不使用POST请求进行C2通信以逃避检测，相反，它通过cookies和GET请求传递数据，没有可见参数。 Sucuri强调有必要将旧的和未维护的插件除名，因为威胁者很容易滥用这些插件来达到恶意目的，并指出Eval PHP并不是唯一有风险的插件。 在WordPress插件库删除该插件之前，建议网站调整他们的管理面板，保持他们的WordPress安装是最新版本，并使用Web应用防火墙。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364328.html 封面来源于网络，如有侵权请联系删除