Бэкдор BPFDoor: Скрытая угроза для глобальной безопасности
Источник: www.trendmicro.com
Бэкдор BPFDoor, ассоциируемый с государственно спонсируемой APT-группой Red Menshen (известной как Earth Bluecrow), представляет собой серьезную угрозу для безопасности в таких секторах, как телекоммуникации, финансы и розничная торговля. Эта угроза продолжает нарастать в различных регионах, включая Южную Корею, Гонконг, Мьянму, Малайзию и Египет.
Технические характеристики бэкдора
BPFDoor предназначен для кибершпионажа и использует методы пакетной фильтрации Berkeley (BPF) для обеспечения скрытности и уклонения от обнаружения. Среди основных его характеристик можно выделить:
- Открытие обратных оболочек, что облегчает перемещение по скомпрометированным сетям.
- Глубокий доступ к системам и конфиденциальным данным.
- Проверка сетевых пакетов на наличие определенных «магических последовательностей», активирующих бэкдор.
- Операция в обход традиционных мер безопасности, таких как брандмауэры.
Подход к скрытности
Особенности BPFDoor затрудняют его обнаружение, так как он может эффективно скрывать свое присутствие и сохраняться незамеченным во время рутинных проверок безопасности. Вредоносная программа активна не менее четырех лет и проявляет значительную активность в среде Linux.
Командный интерфейс и управление
Контроллер, связанный с BPFDoor, выполняет функции командного интерфейса для злоумышленников. Для выполнения команд, таких как установление обратного командного соединения по протоколам TCP, UDP или ICMP, необходимы пароли, соответствующие жестко заданным значениям. Примечательно, что универсальность контроллера позволяет работать с различными вариантами BPFDoor, что повышает его эффективность для хакеров.
Расширенные возможности и скрытность
BPFDoor демонстрирует функции, присущие руткитам, включая:
- Изменение имени процесса.
- Отсутствие прослушивания портов, что затрудняет его обнаружение.
Эти функции позволяют бэкдору длительное незамеченное присутствие в сети, делая его подходящим для постоянной шпионской деятельности.
Текущая ситуация и рекомендации
Недавняя телеметрия показывает, что Earth Bluecrow продолжает использовать BPFDoor в регионе AMEA, уделяя особое внимание серверам Linux и применяя методы обфускации для сокрытия своей активности. Бэкдор может «привязываться» к законным процессам и использовать общие пути к файлам для маскировки своих действий.
В условиях изменяющегося ландшафта угроз организациям крайне важно сохранять бдительность и проактивность в своих стратегиях защиты, особенно в отношении вредоносных программ на основе BPF, таких как BPFDoor. Понимание его возможностей и методов может значительно улучшить меры обнаружения и защиты, снижая риски, связанные с такими APT.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
