Rabattoffert för flera licenser
Hotdatabas Skadlig programvara BPFDoor Controller

BPFDoor Controller

Med Mezo år Skadlig programvara, Bakdörrar
Översätt till:
Svenska

Cybersäkerhetsforskare har identifierat en ny kontrollkomponent kopplad till den ökända BPFDoor-bakdörren. Den här senaste upptäckten kommer mitt i pågående cyberattacker som riktar sig mot telekommunikations-, finans- och detaljhandelssektorer i Sydkorea, Hongkong, Myanmar, Malaysia och Egypten 2024.

Gräva djupare: Omvänd skal och laterala rörelseförmåga

Den nyupptäckta kontrollern kan öppna ett omvänt skal, vilket är ett kraftfullt verktyg för angripare. Den här funktionen möjliggör rörelse i sidled – vilket gör att cyberbrottslingar kan gräva djupare in i komprometterade nätverk, ta kontroll över fler system och potentiellt komma åt känslig data.

Attribution Puzzle: Vem är bakom gardinen?

Dessa attacker har preliminärt kopplats till en hotgrupp kallad Earth Bluecrow, även känd under alias som DecisiveArchitect, Red Dev 18 och Red Menshen. Denna tillskrivning kommer dock med medelhög självförtroende. Anledningen? BPFDoors källkod läckte ut 2022, vilket betyder att andra hotaktörer nu kan utnyttja den också.

BPFDoor: Ett ihärdigt och hemligt spionageverktyg

BPFDoor är en Linux-bakdörr som först exponerades 2022, även om den redan hade använts i minst ett år, riktad mot organisationer i Asien och Mellanöstern. Det som skiljer den åt är dess förmåga att upprätthålla långvarig, hemlig tillgång till komprometterade maskiner – perfekt för spionageverksamhet.

Hur det fungerar: The Magic of the Berkeley Packet Filter

Skadlig programvaras namn kommer från dess användning av Berkeley Packet Filter (BPF). BPF tillåter programvaran att inspektera inkommande nätverkspaket för en specifik "Magic Byte"-sekvens. När detta unika mönster upptäcks utlöser det bakdörren – även om en brandvägg är på plats. Detta beror på hur BPF fungerar på kärnnivån och kringgår traditionella brandväggsskydd. Även om den är vanlig i rootkits, är denna teknik sällsynt i bakdörrar.

En ny spelare: Controller för odokumenterad skadlig programvara

Ny analys avslöjar att även komprometterade Linux-servrar var infekterade med en tidigare odokumenterad skadlig programvara. Väl inne i nätverket underlättar denna kontroller sidorörelse och utökar angriparens räckvidd över andra system.

Innan du skickar ett "magiskt paket" ber styrenheten operatören om ett lösenord – samma lösenord måste matcha ett hårdkodat värde inom BPFDoor skadlig programvara. Om den är autentiserad kan den utföra ett av flera kommandon:

  • Öppna ett omvänt skal
  • Omdirigera nya anslutningar till ett skal på en specifik port
  • Kontrollera om bakdörren fortfarande är aktiv

    • Förbättrade funktioner: Protokollstöd och kryptering

    Styrenheten är mångsidig och stöder TCP-, UDP- och ICMP-protokoll. Den har också ett valfritt krypterat läge för säker kommunikation. Ett avancerat direktläge gör att angripare omedelbart kan ansluta till infekterade maskiner – återigen bara med rätt lösenord.

    Att se framåt: The Expanding Threat of BPF

    BPF öppnar nytt och till stor del outforskat territorium för cyberangripare. Dess förmåga att smyga förbi traditionella försvar gör det till ett tilltalande verktyg för sofistikerade skadlig programvara. För cybersäkerhetsproffs är förståelse och analys av BPF-baserade hot avgörande för att ligga steget före framtida attacker.

    Trendigt

    Mest sedda

    Läser in...