Los investigadores de seguridad cibernética han desenterrado un nuevo componente de compensador asociado con una puerta trasera conocida llamamiento BPFDoor como parte de los ataques cibernéticos dirigidos a los sectores de telecomunicaciones, finanzas y minoristas en Corea del Sur, Hong Kong, Myanmar, Malasia y Egipto en 2024.
“El compensador podría rasgar un caparazón inverso”, dijo Fernando Mercês de Trend Micro Fernando Mercês en un noticia técnico publicado a principios de semana. “Esto podría permitir el movimiento pegado, lo que permite a los atacantes entrar más profundamente en redes comprometidas, lo que les permite controlar más sistemas o obtener paso a datos confidenciales.
La campaña se ha atribuido a un categoría de amenazas que rastrea como Earth BlueCrow, que asimismo se conoce como decisivearchitect, rojo dev 18 y rojo menhen.
BPFDoor es una puerta trasera de Linux que salió a la luz por primera vez en 2022, con el malware posicionado como una utensilio de espionaje a dadivoso plazo para su uso en ataques dirigidos a entidades en Asia y Oriente Medio al menos un año antaño de la divulgación pública.
El aspecto más distintivo del malware es que crea un canal persistente pero cobarde para que los actores de amenaza controlen las estaciones de trabajo comprometidas y accedan a los datos confidenciales durante períodos prolongados de tiempo.
El malware obtiene su nombre del uso de Berkeley Packet Filter (BPF), una tecnología que permite que los programas conecten filtros de red a un enchufe hendido para inspeccionar los paquetes de red entrantes y monitorear una secuencia de bytes mágica específica para avanzar en la influencia.
“Oportuno a cómo se implementa BPF en el sistema eficaz objetivo, el paquete mágico desencadena la puerta trasera a pesar de ser bloqueado por un firewall”, dijo Mercês. “A medida que el paquete alcanza el motor BPF del kernel, activa la puerta trasera residente. Si correctamente estas características son comunes en los raíces, no se encuentran típicamente en las puertas traseras”.
El final prospección de Trend Micro ha opuesto que los servidores de Linux dirigidos asimismo han sido infectados por un compensador de malware previamente indocumentado que se utiliza para consentir a otros hosts afectados en la misma red posteriormente del movimiento pegado.
“Antiguamente de expedir uno de los ‘paquetes mágicos’ verificados por el filtro BPF insertado por BPFDoor Malware, el compensador le pide a su becario una contraseña que asimismo se verifique en el banda BPFDoor”, explicó Mercês.
En el sucesivo paso, el compensador dirige a la máquina comprometida para realizar una de las acciones a continuación en función de la contraseña proporcionada y las opciones de fila de comandos utilizadas –
- Desplegar una carcasa inversa
- Redirigir nuevas conexiones a un shell en un puerto específico, o
- Confirmar que la puerta trasera está activa
Vale la pena señalar que la contraseña enviada por el compensador debe coincidir con uno de los títulos codificados en la muestra BPFDoor. El compensador, encima de aceptar los protocolos TCP, UDP e ICMP para comandar los hosts infectados, asimismo puede habilitar un modo oculto opcional para una comunicación segura.
Encima, el compensador admite lo que se lumbre modo directo que permite a los atacantes conectarse directamente a una máquina infectada y obtener un shell para paso remoto, pero solo cuando se le proporciona la contraseña correcta.
“BPF abre una nueva ventana de posibilidades inexploradas para que los autores de malware exploten”, dijo Mercês. “Como investigadores de amenazas, es imprescindible estar equipado para futuros desarrollos mediante el prospección del código BPF, lo que ayudará a proteger a las organizaciones contra las amenazas con BPF”.
