Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware BPFDoor-controller

BPFDoor-controller

Tegen Mezo in Malware, Achterdeurtjes
Vertalen naar:
Nederlands

Cybersecurityonderzoekers hebben een nieuwe controllercomponent geïdentificeerd die verband houdt met de beruchte BPFDoor-backdoor. Deze recente ontdekking komt te midden van aanhoudende cyberaanvallen op de telecommunicatie-, financiële en retailsector in Zuid-Korea, Hongkong, Myanmar, Maleisië en Egypte in 2024.

Dieper graven: mogelijkheden voor omgekeerde schelp en laterale beweging

De nieuw ontdekte controller kan een reverse shell openen, een krachtig hulpmiddel voor aanvallers. Deze functionaliteit maakt laterale beweging mogelijk, waardoor cybercriminelen dieper in gecompromitteerde netwerken kunnen graven, meer systemen kunnen overnemen en mogelijk toegang kunnen krijgen tot gevoelige gegevens.

Toeschrijvingspuzzel: wie zit er achter het gordijn?

Deze aanvallen worden voorlopig in verband gebracht met een dreigingsgroep genaamd Earth Bluecrow, ook bekend onder aliassen zoals DecisiveArchitect, Red Dev 18 en Red Menshen. Deze toeschrijving is echter niet erg betrouwbaar. De reden? De broncode van BPFDoor is in 2022 gelekt, wat betekent dat andere dreigingsactoren er nu mogelijk ook gebruik van maken.

BPFDoor: een hardnekkig en heimelijk spionagemiddel

BPFDoor is een Linux-backdoor die voor het eerst werd blootgelegd in 2022, hoewel hij al minstens een jaar in gebruik was en gericht was op organisaties in Azië en het Midden-Oosten. Wat het onderscheidt, is de mogelijkheid om langdurig en heimelijk toegang te krijgen tot gecompromitteerde machines – perfect voor spionageoperaties.

Hoe het werkt: de magie van het Berkeley-pakketfilter

De naam van de malware is afgeleid van het gebruik van de Berkeley Packet Filter (BPF). Met BPF kan de software inkomende netwerkpakketten inspecteren op een specifieke 'Magic Byte'-reeks. Wanneer dit unieke patroon wordt gedetecteerd, activeert het de backdoor, zelfs als er een firewall actief is. Dit komt door de manier waarop BPF op kernelniveau werkt en traditionele firewallbeveiliging omzeilt. Hoewel deze techniek gebruikelijk is bij rootkits, is deze zeldzaam bij backdoors.

Een nieuwe speler: de ongedocumenteerde malware-controller

Recente analyses tonen aan dat gecompromitteerde Linux-servers ook geïnfecteerd waren met een eerder niet-gedocumenteerde malwarecontroller. Eenmaal binnen het netwerk faciliteert deze controller laterale verplaatsing en vergroot het de reikwijdte van de aanvaller naar andere systemen.

Voordat een 'magisch pakket' wordt verzonden, vraagt de controller de operator om een wachtwoord. Dit wachtwoord moet overeenkomen met een hardgecodeerde waarde in de BPFDoor-malware. Na authenticatie kan de controller een van de volgende opdrachten uitvoeren:

  • Open een omgekeerde shell
  • Nieuwe verbindingen omleiden naar een shell op een specifieke poort
  • Controleer of de achterdeur nog actief is

    • Verbeterde mogelijkheden: protocolondersteuning en encryptie

    De controller is veelzijdig en ondersteunt TCP-, UDP- en ICMP-protocollen. Hij beschikt ook over een optionele versleutelde modus voor veilige communicatie. Een geavanceerde directe modus stelt aanvallers in staat om direct verbinding te maken met geïnfecteerde machines – wederom alleen met het juiste wachtwoord.

    Vooruitkijken: de groeiende dreiging van BPF

    BPF opent nieuw en grotendeels onontgonnen terrein voor cyberaanvallers. De mogelijkheid om traditionele verdedigingen te omzeilen, maakt het een aantrekkelijk hulpmiddel voor geavanceerde malwareontwikkelaars. Voor cybersecurityprofessionals is het begrijpen en analyseren van BPF-gebaseerde dreigingen cruciaal om toekomstige aanvallen voor te blijven.

    Trending

    Meest bekeken

    Bezig met laden...