Cybersecurity -onderzoekers hebben een nieuwe controllercomponent opgegraven geassocieerd met een bekende achterdeur genaamd BPFDoor als onderdeel van cyberaanvallen gericht op telecommunicatie, financiën en retailsectoren in Zuid -Korea, Hong Kong, Myanmar, Maleisië en Egypte in 2024.
“De controller zou een omgekeerde shell kunnen openen,” zei trend micro -onderzoeker Fernando Mercês in een technisch rapport dat eerder in de week werd gepubliceerd. “Hierdoor kan de laterale beweging mogelijk maken, waardoor aanvallers dieper kunnen binnenkomen in gecompromitteerde netwerken, waardoor ze meer systemen kunnen besturen of toegang kunnen krijgen tot gevoelige gegevens.
De campagne is toegeschreven aan een bedreigingsgroep die het volgt als Earth Bluecrow, die ook bekend staat als DecisiveRearchitect, Red Dev 18 en Red Menshen.
BPFDoor is een Linux-achterdeur die voor het eerst aan het licht kwam in 2022, met de malware gepositioneerd als een langdurige spionagetool voor gebruik in aanvallen in Azië en het Midden-Oosten minstens een jaar voorafgaand aan openbaarmaking.
Het meest onderscheidende aspect van de malware is dat het een hardnekkig-maar toch bestrijkingskanaal voor bedreigingsactoren creëert om gecompromitteerde werkstations te beheersen en over langere tijd toegang te krijgen tot gevoelige gegevens.
De malware haalt zijn naam aan het gebruik van Berkeley Packet Filter (BPF), een technologie waarmee programma’s netwerkfilters aan een open socket kunnen koppelen om inkomende netwerkpakketten te inspecteren en te controleren op een specifieke magische byte -reeks om in actie te komen.
“Vanwege hoe BPF wordt geïmplementeerd in het beoogde besturingssysteem, activeert het Magic Packet de achterdeur ondanks dat hij wordt geblokkeerd door een firewall,” zei Mercês. “Terwijl het pakket de BPF -motor van de kernel bereikt, activeert het de ingezeten achterdeur. Hoewel deze functies gebruikelijk zijn in rootkits, worden ze meestal niet in backdoors gevonden.”
Uit de nieuwste analyse van Trend Micro is gebleken dat de beoogde Linux -servers ook zijn geïnfecteerd door een eerder niet -gedocumenteerde malwarecontroller die wordt gebruikt om toegang te krijgen tot andere getroffen hosts in hetzelfde netwerk na laterale beweging.
“Voordat een van de ‘magische pakketten’ wordt gecontroleerd door het BPF -filter dat wordt ingevoegd door BPFDoor -malware, vraagt de controller zijn gebruiker om een wachtwoord dat ook aan de BPFDoor -kant wordt gecontroleerd,” legde Mercês uit.
In de volgende stap stelt de controller de gecompromitteerde machine opdracht om een van de onderstaande acties uit te voeren op basis van het aangeboden wachtwoord en de gebruikte opdrachtregelopties –
- Open een omgekeerde schaal
- Direct nieuwe verbindingen door naar een schaal op een specifieke poort, of
- Bevestig dat de achterdeur actief is
Het is de moeite waard erop te wijzen dat het wachtwoord dat door de controller wordt verzonden, moet overeenkomen met een van de hard gecodeerde waarden in het BPFDoor-monster. De controller, naast het ondersteunen van TCP-, UDP- en ICMP -protocollen om de geïnfecteerde hosts te bevelen, kan ook een optionele gecodeerde modus inschakelen voor veilige communicatie.
Bovendien ondersteunt de controller wat een directe modus wordt genoemd waarmee de aanvallers direct verbinding kunnen maken met een geïnfecteerde machine en een shell voor externe toegang kunnen verkrijgen – maar alleen wanneer het juiste wachtwoord wordt verstrekt.
“BPF opent een nieuw venster met onontgonnen mogelijkheden voor malware -auteurs om te exploiteren,” zei Mercês. “Als dreigingsonderzoekers is het een must om te worden uitgerust voor toekomstige ontwikkelingen door BPF-code te analyseren, die organisaties zal helpen beschermen tegen BPF-aangedreven bedreigingen.”
