СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.04.2025
#Dev#ИБ#Инфра

Нацелен на Азию: угроза BPFDOOR и кибершпионаж

Нацелен на Азию: угроза BPFDOOR и кибершпионаж

BPFDOOR, бэкдор на базе Linux, вызывает растущее беспокойство среди специалистов в области кибербезопасности. Он ассоциируется с группой разработчиков приложений, известной как Red Menshen из Китая. Этот бэкдор использует функциональность Berkeley Packet Filter (BPF) для создания обратных оболочек, что позволяет злоумышленникам глубже проникать в скомпрометированные сети.

География атак и цели BPFDOOR

С момента своего появления BPFDOOR нацеливается на компании в различных регионах, включая:

  • Южную Корею
  • Гонконг
  • Мьянму
  • Малайзию
  • Египет
  • Розничных торговцев

Особое внимание стоит уделить событиям середины 2024 года, когда были предприняты заметные атаки на телекоммуникационную отрасль Южной Кореи.

Технологические аспекты BPFDOOR

Доступность кода BPFDOOR с 2022 года способствовала созданию множества вариантов вредоносного ПО. Основные особенности работы BPFDOOR включают:

  • Сокрытие вредоносных файлов по различным путям в серверной среде Linux, что затрудняет их обнаружение.
  • Структурирование вредоносных файлов как 64-разрядных двоичных файлов ELF, совместимых с архитектурой x86-64, но не предназначенных для ARM-систем.
  • Генерация сообщения «HALDRUND» при запуске.
  • Упаковка файл PID в каталоге «/var/run» с дублированием его как «KDMTMPFLUSH» в каталоге «/dev/shm».

Данный метод позволяет BPFDOOR удалять следы заражения, выдавая себя за законные процессы.

Скрытность и коммуникация бэкдора

BPFDOOR взаимодействует со своими операторами, используя алгоритм симметричного шифрования RC4, что затрудняет перехват команд. Ключевые функции включают:

  • ‘Packet_loop’ — для отслеживания предопределенных командных строк, соответствующих различным вредоносным действиям.
  • Рандомизация имен процессов, что усиливает скрытность и позволяет имитировать законных системных демонов Linux.

Меры безопасности и рекомендации

Для обнаружения и реакции на BPFDOOR рекомендуется:

  • Мониторинг определенных PID-файлов.
  • Контроль за аномальными перенаправлениями правил IPTABLES.
  • Использование технологий, таких как Genian EDR, для визуального анализа поведения бэкдора.

Эти меры позволят быстрее идентифицировать связанные процессы и улучшат защиту от таких постоянных угроз.

Таким образом, повышенная бдительность и проактивные стратегии обеспечения безопасности становятся необходимостью для предприятий, уязвимых к передовым бэкдорам, таким как BPFDOOR.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: