主要观点：Lumen 技术公司的 Black Lotus Labs 团队追踪到针对企业级 Juniper 路由器的后门攻击，名为 J-magic，最早样本于 2023 年 9 月上传至 VirusTotal，目前不知初始访问方法，安装的代理为 cd00r 变体，能被动扫描并激活后门建立反向 shell 控制设备等；企业级路由器因其缺乏监控工具等特点成为有吸引力的目标，此活动与 SeaSpy2 有技术指标相似但无法确定关联，且 J-magic 活动从 2023 年中至少持续到 2024 年中，目标涉及多个行业；技术细节包括使用开源 cd00r 变体作为恶意软件，通过特定魔法数据包触发反向 shell 等，还介绍了 J-magic 的恶意软件分析及魔法数据包条件等；全球遥测显示分析的净流量中符合条件的不到 0.01%，主要有作为 VPN 网关和具有暴露 NETCONF 端口的 Juniper 路由器受影响，且多个受害者来自不同行业，一些源 IP 为公共 VPN 和代理服务，还有专用命令和控制服务器等；结论强调对 Juniper 路由器的攻击及 Magic Packet 恶意软件的趋势，提供了针对检测的建议和相关 IOC 的 GitHub 页面等。

关键信息：

• J-magic 后门攻击针对企业级 Juniper 路由器，最早样本 2023 年 9 月上传。
• 安装的代理为 cd00r 变体，可被动扫描并激活后门。
• 企业级路由器因缺乏监控工具等成为攻击目标。
• 与 SeaSpy2 有技术指标相似但无法确定关联。
• 全球遥测显示符合条件的净流量占比极小，涉及多种行业的 Juniper 路由器。
• 提供了检测建议和相关 IOC 的 GitHub 页面。

重要细节：

• 魔法数据包的各种条件及触发机制，如不同偏移位置的特定字节序列等。
• 全球遥测中作为 VPN 网关和具有暴露 NETCONF 端口的路由器的具体信息及相关受害者情况。
• 专用命令和控制服务器的相关信息，如证书指纹等。
• 检测建议包括 Trusted Sec、SandFly Security 和 Elastic 的相关博客等。