Rabattilbud med flere licenser
Trusseldatabase Malware BPFDoor Controller

BPFDoor Controller

Med Mezo i Malware, Bagdøre
Oversæt til:
Dansk

Cybersikkerhedsforskere har identificeret en ny controller-komponent knyttet til den berygtede BPFDoor-bagdør. Denne seneste opdagelse kommer midt i igangværende cyberangreb rettet mod telekommunikation, finans og detailsektorer på tværs af Sydkorea, Hong Kong, Myanmar, Malaysia og Egypten i 2024.

Grave dybere: Reverse Shell og laterale bevægelsesmuligheder

Den nyopdagede controller kan åbne en omvendt skal, som er et kraftfuldt værktøj til angribere. Denne funktionalitet muliggør sideværts bevægelse – hvilket giver cyberkriminelle mulighed for at grave dybere ned i kompromitterede netværk, tage kontrol over flere systemer og potentielt få adgang til følsomme data.

Attributionspuslespil: Hvem er bag gardinet?

Disse angreb er foreløbigt blevet forbundet med en trusselgruppe kaldet Earth Bluecrow, også kendt under aliaser som DecisiveArchitect, Red Dev 18 og Red Menshen. Denne tilskrivning kommer dog med medium selvtillid. Årsagen? BPFDoors kildekode blev lækket i 2022, hvilket betyder, at andre trusselsaktører nu også kan udnytte den.

BPFDoor: Et vedvarende og skjult spionageværktøj

BPFDoor er en Linux-bagdør, der først blev afsløret i 2022, selvom den allerede havde været i brug i mindst et år, rettet mod organisationer i Asien og Mellemøsten. Det, der adskiller den, er dens evne til at opretholde langsigtet, skjult adgang til kompromitterede maskiner – perfekt til spionageoperationer.

Sådan virker det: The Magic of the Berkeley Packet Filter

Malwarens navn kommer fra dets brug af Berkeley Packet Filter (BPF). BPF giver softwaren mulighed for at inspicere indgående netværkspakker for en specifik 'Magic Byte'-sekvens. Når dette unikke mønster detekteres, udløser det bagdøren – også selvom en firewall er på plads. Dette skyldes, hvordan BPF fungerer på kerneniveau og omgår traditionelle firewall-beskyttelser. Selvom den er almindelig i rootkits, er denne teknik sjælden i bagdøre.

En ny afspiller: Den udokumenterede malware-controller

Nylige analyser afslører, at kompromitterede Linux-servere også var inficeret med en tidligere udokumenteret malware-controller. Når denne controller først er inde i netværket, letter den laterale bevægelser og udvider angriberens rækkevidde på tværs af andre systemer.

Før du sender en 'magisk pakke', beder controlleren operatøren om en adgangskode – den samme adgangskode skal matche en hårdkodet værdi i BPFDoor-malwaren. Hvis den er godkendt, kan den udføre en af flere kommandoer:

  • Åbn en omvendt skal
  • Omdiriger nye forbindelser til en shell på en bestemt port
  • Bekræft, om bagdøren stadig er aktiv

    • Forbedrede funktioner: Protokolstøtte og kryptering

    Controlleren er alsidig og understøtter TCP-, UDP- og ICMP-protokoller. Den har også en valgfri krypteret tilstand til sikker kommunikation. En avanceret direkte tilstand giver angribere mulighed for øjeblikkeligt at oprette forbindelse til inficerede maskiner – igen kun med den korrekte adgangskode.

    Looking Ahead: The Expanding Threat of BPF

    BPF åbner nyt og stort set uudforsket territorium for cyberangribere. Dens evne til at snige sig forbi traditionelle forsvar gør det til et tiltalende værktøj for sofistikerede malware-forfattere. For fagfolk inden for cybersikkerhed er forståelse og analyse af BPF-baserede trusler afgørende for at være på forkant med fremtidige angreb.

    Trending

    Mest sete

    Indlæser...