Slevová nabídka pro více licencí
Databáze hrozeb Malware BPFDoor Controller

BPFDoor Controller

V roce Mezo v roce Malware, Zadní vrátka
Přeložit do:
Čeština

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali novou komponentu ovladače spojenou s notoricky známými zadními vrátky BPFDoor. Tento nejnovější objev přichází uprostřed probíhajících kybernetických útoků zaměřených na telekomunikační, finanční a maloobchodní sektory v Jižní Koreji, Hongkongu, Myanmaru, Malajsii a Egyptě v roce 2024.

Kopání hlouběji: Schopnost obrácení skořepiny a laterálního pohybu

Nově objevený ovladač dokáže otevřít reverzní shell, což je mocný nástroj pro útočníky. Tato funkce umožňuje boční pohyb – umožňuje kyberzločincům proniknout hlouběji do ohrožených sítí, převzít kontrolu nad více systémy a potenciálně přistupovat k citlivým datům.

Atribuční puzzle: Kdo je za oponou?

Tyto útoky byly předběžně spojeny se skupinou hrozeb zvanou Earth Bluecrow, známou také pod přezdívkami jako DecisiveArchitect, Red Dev 18 a Red Menshen. Tato atribuce však přichází se střední spolehlivostí. Důvod? Zdrojový kód BPFDoor unikl v roce 2022, což znamená, že jej nyní mohou využívat i další aktéři hrozeb.

BPFDoor: Trvalý a skrytý špionážní nástroj

BPFDoor je linuxová zadní vrátka, která byla poprvé vystavena v roce 2022, i když se již používala nejméně rok a zaměřuje se na organizace v Asii a na Středním východě. To, co jej odlišuje, je jeho schopnost udržovat dlouhodobý, skrytý přístup ke kompromitovaným strojům – ideální pro špionážní operace.

Jak to funguje: Kouzlo paketového filtru Berkeley

Název malwaru pochází z jeho použití Berkeley Packet Filter (BPF). BPF umožňuje softwaru kontrolovat příchozí síťové pakety na konkrétní sekvenci 'Magic Byte'. Když je detekován tento jedinečný vzor, spustí se zadní vrátka – i když je na místě firewall. To je způsobeno tím, jak BPF funguje na úrovni jádra a obchází tradiční firewallové ochrany. Zatímco běžná v rootkitech, tato technika je vzácná v zadních vrátkách.

Nový přehrávač: Nezdokumentovaný ovladač malwaru

Nedávná analýza odhaluje, že kompromitované linuxové servery byly také infikovány dříve nezdokumentovaným řadičem malwaru. Jakmile se tento ovladač dostane do sítě, usnadňuje pohyb do stran a rozšiřuje dosah útočníka na další systémy.

Před odesláním „magického paketu“ ovladač požádá operátora o heslo – stejné heslo se musí shodovat s pevně zakódovanou hodnotou v malwaru BPFDoor. Pokud je ověřen, může provést jeden z několika příkazů:

  • Otevřete reverzní shell
  • Přesměrujte nová připojení na shell na konkrétním portu
  • Ověřte, zda jsou zadní vrátka stále aktivní

    • Vylepšené schopnosti: Podpora protokolů a šifrování

    Řadič je všestranný, podporuje protokoly TCP, UDP a ICMP. Je také vybaven volitelným šifrovaným režimem pro bezpečnou komunikaci. Pokročilý přímý režim umožňuje útočníkům okamžitě se připojit k infikovaným strojům – opět pouze se správným heslem.

    Pohled do budoucna: Rozšiřující se hrozba BPF

    BPF otevírá nové a do značné míry neprozkoumané území pro kybernetické útočníky. Jeho schopnost proklouznout přes tradiční obranu z něj dělá přitažlivý nástroj pro sofistikované autory malwaru. Pro profesionály v oblasti kybernetické bezpečnosti je pochopení a analýza hrozeb založených na BPF zásadní, aby si udrželi náskok před budoucími útoky.

    Trendy

    E-mailový podvod s nevyzvednutou cenou

    Phishing, Spam
    Bezpečná navigace na webu vyžaduje neustálé povědomí, protože podvodníci stále hledají nové způsoby, jak zneužít nic netušící uživatele. Jedním z takových podvodných schémat je podvod s nevyzvednutými cenami, klamný trik určený k získávání osobních údajů a peněz. Tato taktika, která se vydává za legitimní oznámení o výhře, využívá vzrušení a zvědavosti a nakonec vede oběti do sítě finančních...

    Nejvíce shlédnuto

    Načítání...