주니퍼 라우터 대상 'Magic Packet' 취약점 악용 백도어 발견

Custom Backdoor Exploiting Magic Packet Vulnerability in Juniper Routers

 

• 개요
  • 주니퍼 네트워크(Juniper Networks)의 엔터프라이즈급 라우터가 새로운 맞춤형 백도어(Custom Backdoor) 공격의 타겟이 됨
  • J-magic 캠페인이라 명명된 이번 공격은 TCP 트래픽에 포함된 특정 'Magic Packet' 을 감지하여 악성 코드가 활성화되는 방식
  • 공격자는 감염된 라우터를 원격 제어하고, 데이터 탈취 및 추가 악성 페이로드를 배포 가능
• 공격 방식 및 주요 특징
  • 백도어는 주니퍼의 네트워크 운영체제(Junos OS)를 겨냥해 설계됨
  • 최초 감염 경로는 아직 불분명, 그러나 공격자는 초기 접근 권한을 획득한 후 특정 에이전트(Agent)를 배포하여 지속적인 접근을 유지
  • 해당 에이전트는 25년 된 공개 백도어 ‘cd00r’의 변형 버전으로, 5가지 특정 파라미터를 만족할 때만 활성화됨
  • 공격자가 보낸 Magic Packet을 감지하면 추가 인증 단계를 거친 후, 공격자의 IP 및 포트로 역방향 셸(Reverse Shell)을 생성
  • 이를 통해 공격자는 라우터를 원격으로 조작하고, 데이터 유출 및 추가 악성코드 배포 가능
• 공격 대상 및 피해 현황
  • 공격은 2023년 9월부터 2024년 중반까지 지속적으로 발생
  • 반도체, 에너지, 제조, IT 산업을 주요 타겟으로 설정
  • 감염 사례가 발견된 지역
    • 유럽, 아시아, 남미 지역 (아르헨티나, 아르메니아, 브라질, 칠레, 콜롬비아, 인도네시아, 네덜란드, 노르웨이, 페루, 영국, 미국, 베네수엘라)
  • VPN 게이트웨이 역할을 하는 주니퍼 라우터가 주요 피해 대상
  • NETCONF 포트가 노출된 라우터도 소규모 클러스터 형태로 공격 대상 포함
  • 해당 네트워크 장비는 라우터 구성 자동화 및 관리 기능을 제공하므로, 공격자가 이를 악용하여 장기적인 네트워크 침투 및 정찰 수행 가능
• J-magic과 다른 공격 캠페인과의 비교
  • SEASPY: 2022년 Barracuda Email Security Gateway(ESG) 장비를 타겟으로 한 백도어 캠페인에서 cd00r의 변형 사용됨
  • Jaguar Tooth, BlackTech (Canary Typhoon): 기존 엔터프라이즈급 라우터를 표적으로 한 다른 공격 캠페인과의 연관성은 확인되지 않음
• 국가 차원의 위협 가능성
  • 공격의 최종 목표는 불명확하지만, 특정 국가가 마이크로프로세서 제조 및 조선 산업 관련 지식재산권(IP) 탈취를 목적으로 공격을 수행한 정황 포착
  • 국가 지원 해커 그룹(Nation-State Actors)이 라우터를 악용하여 후속 공격을 준비하고 있을 가능성이 큼
  • 라우터와 같은 엣지(Edge) 인프라의 장기적인 가동 시간(Uptime)이 길고, EDR(Endpoint Detection and Response) 보호 기능이 부족하여 공격자의 주요 표적이 되고 있음
• 보안 권고
  • 주니퍼 라우터의 최신 보안 패치 및 펌웨어 업데이트 적용 필수
  • NETCONF 및 관리 인터페이스 포트 접근 제한 (신뢰할 수 있는 IP 주소에서만 접근 허용)
  • 라우터 및 VPN 게이트웨이에 대한 정기적인 이상 행위 모니터링
  • 네트워크 로그 분석을 통한 'Magic Packet' 기반의 의심스러운 트래픽 탐지
  • 제로 트러스트(Zero Trust) 보안 모델 적용 및 멀티팩터 인증(MFA) 활성화