Siber güvenlik araştırmacıları, 2024’te Güney Kore, Hong Kong, Myanmar, Malezya ve Mısır’daki telekomünikasyon, finans ve perakende sektörlerini hedefleyen siber saldırıların bir parçası olarak BPFDoor adlı bilinen bir arka kapıyla ilişkili yeni bir kontrolör bileşeni ortaya çıkardılar.
Trend Micro araştırmacısı Fernando Mercês, haftanın başlarında yayınlanan bir teknik raporda “Denetleyici ters bir kabuk açabilir.” Dedi. “Bu, yanal harekete izin verebilir ve saldırganların güvenliği ihlal edilmiş ağlara daha derin girmelerini sağlayarak daha fazla sistemi kontrol etmelerini veya hassas verilere erişim kazanmalarını sağlar.
Kampanya, izlediği bir tehdit grubuna atfedildi. Dünya mavisi, Bu da Searchitect, Red Dev 18 ve Red Menshen olarak da bilinir.
BPFDoor, 2022’de ilk ortaya çıkan bir Linux arka kapısıdır ve kötü amaçlı yazılım, kamu açıklamasından en az bir yıl önce Asya ve Orta Doğu’daki varlıkları hedefleyen saldırılarda kullanım için uzun vadeli bir casusluk aracı olarak konumlandırılmıştır.
Kötü amaçlı yazılımın en belirgin yönü, tehdit aktörleri için uzlaşmış iş istasyonlarını kontrol etmek ve daha uzun süreler boyunca hassas verilere erişmek için sürekli bir aktörler için kalıcı ama kapsamlı bir kanal oluşturmasıdır.
Kötü amaçlı yazılım, adını gelen ağ paketlerini incelemek ve harekete geçecek şekilde belirli bir sihirli bayt dizisini izlemek için programların ağ filtrelerini açık bir sokete eklemesine olanak tanıyan Berkeley Paket Filtresi (BPF) kullanımından alır.
Mercês, “BPF’nin hedeflenen işletim sisteminde nasıl uygulandığı için, sihirli paket bir güvenlik duvarı tarafından engellenmesine rağmen arka kapıyı tetikliyor.” Dedi. “Paket çekirdeğin BPF motoruna ulaştığında, yerleşik arka kapıyı etkinleştirir. Bu özellikler rootkitlerde yaygın olsa da, genellikle arka kaplarda bulunmazlar.”
Trend Micro’nun son analizi, hedeflenen Linux sunucularının, yanal hareketten sonra aynı ağdaki diğer etkilenen ana bilgisayarlara erişmek için kullanılan daha önce belgelenmemiş bir kötü amaçlı yazılım denetleyicisi tarafından enfekte olduğunu buldu.
Mercês, “BPFDoor kötü amaçlı yazılım tarafından yerleştirilen BPF filtresi tarafından kontrol edilen ‘sihirli paketlerden birini göndermeden önce, denetleyici kullanıcıdan BPFDoor tarafında da kontrol edilecek bir şifre ister.”
Bir sonraki adımda, denetleyici, sağlanan şifreye ve kullanılan komut satırı seçeneklerine göre aşağıdaki eylemlerden birini gerçekleştirmek için uzlaşmış makineyi yönlendirir –
- Ters Kabuk Aç
- Yeni bağlantıları belirli bir bağlantı noktasındaki bir kabuğa yönlendirin veya
- Arka kapı aktif olduğunu onaylayın
Denetleyici tarafından gönderilen şifrenin BPFDoor örneğindeki sabit kodlu değerlerden biriyle eşleşmesi gerektiğini belirtmek gerekir. Enfekte ana bilgisayarlara komuta etmek için TCP, UDP ve ICMP protokollerini desteklemenin yanı sıra kontrolör, güvenli iletişim için isteğe bağlı şifreli bir mod sağlayabilir.
Ayrıca, denetleyici, saldırganların doğrudan enfekte bir makineye bağlanmasını ve uzaktan erişim için bir kabuk almasını sağlayan doğrudan mod olarak adlandırılan şeyi destekler – ancak yalnızca doğru şifre verildiğinde.
Mercês, “BPF, kötü amaçlı yazılım yazarlarının sömürmesi için keşfedilmemiş olasılıklardan oluşan yeni bir pencere açıyor.” Dedi. “Tehdit araştırmacıları olarak, organizasyonları BPF destekli tehditlere karşı korumaya yardımcı olacak BPF kodunu analiz ederek gelecekteki gelişmeler için donatılması bir zorunluluktur.”