Multilicenčná zľavová ponuka
Databáza hrozieb Malvér BPFDoor Controller

BPFDoor Controller

Do roku Mezo v roku Malvér, Zadné vrátka
Preložiť do:
Slovenčina

Výskumníci v oblasti kybernetickej bezpečnosti identifikovali nový komponent ovládača spojený s notoricky známym zadným vrátkom BPFDoor. Tento najnovší objav prichádza uprostred prebiehajúcich kybernetických útokov zameraných na sektory telekomunikácií, financií a maloobchodu v Južnej Kórei, Hongkongu, Mjanmarsku, Malajzii a Egypte v roku 2024.

Hlbšie kopanie: Schopnosť spätného škrupiny a bočného pohybu

Novoobjavený ovládač dokáže otvoriť spätný shell, čo je silný nástroj pre útočníkov. Táto funkcionalita umožňuje laterálny pohyb – umožňuje kyberzločincom preniknúť hlbšie do ohrozených sietí, prevziať kontrolu nad viacerými systémami a potenciálne pristupovať k citlivým údajom.

Puzzle s pripisovaním: Kto je za oponou?

Tieto útoky boli predbežne spojené so skupinou hrozieb s názvom Earth Bluecrow, ktorá je známa aj pod prezývkami ako DecisiveArchitect, Red Dev 18 a Red Menshen. Toto pripisovanie však prichádza so strednou spoľahlivosťou. Dôvod? Zdrojový kód BPFDoor unikol v roku 2022, čo znamená, že ho teraz môžu využívať aj iní aktéri hrozieb.

BPFDoor: Trvalý a skrytý špionážny nástroj

BPFDoor je linuxové zadné vrátka, ktoré sa prvýkrát objavilo v roku 2022, hoci sa už používalo najmenej rok, pričom sa zameriava na organizácie v Ázii a na Strednom východe. To, čo ho odlišuje, je jeho schopnosť udržiavať dlhodobý, skrytý prístup k napadnutým strojom – ideálne pre špionážne operácie.

Ako to funguje: Kúzlo paketového filtra Berkeley

Názov malvéru pochádza z jeho použitia Berkeley Packet Filter (BPF). BPF umožňuje softvéru kontrolovať prichádzajúce sieťové pakety na špecifickú sekvenciu 'Magic Byte'. Keď sa zistí tento jedinečný vzor, spustí sa zadné vrátka – aj keď je na mieste firewall. Je to spôsobené tým, ako BPF funguje na úrovni jadra a obchádza tradičné firewallové ochrany. Zatiaľ čo bežná v rootkitoch, táto technika je zriedkavá v zadných vrátkach.

Nový prehrávač: Nezdokumentovaný ovládač škodlivého softvéru

Nedávna analýza odhaľuje, že napadnuté servery Linux boli tiež infikované predtým nezdokumentovaným radičom škodlivého softvéru. Keď sa tento ovládač dostane do siete, uľahčuje pohyb do strán a rozširuje dosah útočníka na ďalšie systémy.

Pred odoslaním „magického paketu“ ovládač požiada operátora o heslo – toto isté heslo sa musí zhodovať s pevne zakódovanou hodnotou v rámci malvéru BPFDoor. Ak je overený, môže vykonať jeden z niekoľkých príkazov:

  • Otvorte spätný kryt
  • Presmerujte nové pripojenia do shellu na konkrétnom porte
  • Skontrolujte, či sú zadné vrátka stále aktívne

    • Rozšírené možnosti: Podpora protokolov a šifrovanie

    Radič je všestranný, podporuje protokoly TCP, UDP a ICMP. Obsahuje tiež voliteľný šifrovaný režim pre bezpečnú komunikáciu. Pokročilý priamy režim umožňuje útočníkom okamžite sa pripojiť k infikovaným počítačom – opäť len so správnym heslom.

    Pohľad do budúcnosti: Rozširujúca sa hrozba BPF

    BPF otvára kybernetickým útočníkom nové a do značnej miery nepreskúmané územie. Jeho schopnosť preniknúť cez tradičnú obranu z neho robí príťažlivý nástroj pre sofistikovaných autorov škodlivého softvéru. Pre profesionálov v oblasti kybernetickej bezpečnosti je pochopenie a analýza hrozieb založených na BPF kľúčové, aby si udržali náskok pred budúcimi útokmi.

    Trendy

    E-mailový podvod s nevyzdvihnutou cenou

    Phishing, Spam
    Bezpečná navigácia na webe si vyžaduje neustálu informovanosť, pretože podvodníci stále hľadajú nové spôsoby, ako zneužiť nič netušiacich používateľov. Jednou z takýchto podvodných schém je podvod s nevyžiadanou cenou, klamlivý trik určený na získavanie osobných informácií a peňazí. Táto taktika, ktorá sa vydáva za legitímne oznámenie o výhre, využíva vzrušenie a zvedavosť, čo nakoniec vedie...

    Najviac videné

    Načítava...