Los investigadores de seguridad cibernética han desenterrado un nuevo componente de compensador asociado con una puerta trasera conocida emplazamiento BPFDoor como parte de los ataques cibernéticos dirigidos a los sectores de telecomunicaciones, finanzas y minoristas en Corea del Sur, Hong Kong, Myanmar, Malasia y Egipto en 2024.
«El compensador podría rajar un caparazón inverso», dijo Fernando Mercês de Trend Micro Fernando Mercês en un documentación técnico publicado a principios de semana. «Esto podría permitir el movimiento contiguo, lo que permite a los atacantes entrar más profundamente en redes comprometidas, lo que les permite controlar más sistemas o obtener acercamiento a datos confidenciales.
La campaña se ha atribuido a un especie de amenazas que rastrea como Earth BlueCrow, que asimismo se conoce como decisivearchitect, rojo dev 18 y rojo menhen.
BPFDoor es una puerta trasera de Linux que salió a la luz por primera vez en 2022, con el malware posicionado como una útil de espionaje a desprendido plazo para su uso en ataques dirigidos a entidades en Asia y Oriente Medio al menos un año antiguamente de la divulgación pública.
El aspecto más distintivo del malware es que crea un canal persistente pero cobarde para que los actores de amenaza controlen las estaciones de trabajo comprometidas y accedan a los datos confidenciales durante períodos prolongados de tiempo.
El malware obtiene su nombre del uso de Berkeley Packet Filter (BPF), una tecnología que permite que los programas conecten filtros de red a un enchufe franco para inspeccionar los paquetes de red entrantes y monitorear una secuencia de bytes mágica específica para avanzar en la entusiasmo.
«Correcto a cómo se implementa BPF en el sistema operante objetivo, el paquete mágico desencadena la puerta trasera a pesar de ser bloqueado por un firewall», dijo Mercês. «A medida que el paquete alcanza el motor BPF del kernel, activa la puerta trasera residente. Si acertadamente estas características son comunes en los raíces, no se encuentran típicamente en las puertas traseras».
El zaguero prospección de Trend Micro ha antitético que los servidores de Linux dirigidos asimismo han sido infectados por un compensador de malware previamente indocumentado que se utiliza para aceptar a otros hosts afectados en la misma red posteriormente del movimiento contiguo.
«Antiguamente de dirigir uno de los ‘paquetes mágicos’ verificados por el filtro BPF insertado por BPFDoor Malware, el compensador le pide a su adjudicatario una contraseña que asimismo se verifique en el costado BPFDoor», explicó Mercês.
En el ulterior paso, el compensador dirige a la máquina comprometida para realizar una de las acciones a continuación en función de la contraseña proporcionada y las opciones de tilde de comandos utilizadas –
- Destapar una carcasa inversa
- Redirigir nuevas conexiones a un shell en un puerto específico, o
- Confirmar que la puerta trasera está activa
Vale la pena señalar que la contraseña enviada por el compensador debe coincidir con uno de los títulos codificados en la muestra BPFDoor. El compensador, por otra parte de confesar los protocolos TCP, UDP e ICMP para comandar los hosts infectados, asimismo puede habilitar un modo secreto opcional para una comunicación segura.
Adicionalmente, el compensador admite lo que se candela modo directo que permite a los atacantes conectarse directamente a una máquina infectada y obtener un shell para acercamiento remoto, pero solo cuando se le proporciona la contraseña correcta.
«BPF abre una nueva ventana de posibilidades inexploradas para que los autores de malware exploten», dijo Mercês. «Como investigadores de amenazas, es imprescindible estar equipado para futuros desarrollos mediante el prospección del código BPF, lo que ayudará a proteger a las organizaciones contra las amenazas con BPF».
