HackerNews 编译,转载请注明出处:
网络安全研究人员发现了一种与已知后门程序BPFDoor相关的新型控制器组件。该组件被用于2024年针对韩国、中国香港、缅甸、马来西亚和埃及电信、金融及零售行业的网络攻击。
趋势科技研究员Fernando Mercês在本周发布的技术报告中指出:该控制器可开启反向Shell,使攻击者通过横向移动深入受感染网络,控制更多系统或获取敏感数据。
该活动被中等置信度归因于追踪代号为Earth Bluecrow的威胁组织(亦被称为DecisiveArchitect、Red Dev 18和Red Menshen)。置信度较低的原因是BPFDoor恶意软件源代码已于2022年泄露,意味着其他黑客组织可能也在使用该工具。
BPFDoor是一款Linux后门程序,最早于2022年曝光。公开披露前至少一年,该恶意软件已被用作针对亚洲和中东实体的长期间谍工具。
其最显著特点是能为攻击者创建持久且隐蔽的通道,长期控制受感染工作站并窃取敏感数据。
该恶意软件得名于其使用的伯克利数据包过滤器(BPF)技术。该技术允许程序将网络过滤器附加到开放套接字,通过检查传入数据包并监测特定Magic Byte序列触发恶意行为。
Mercês解释:由于目标操作系统对BPF的实现方式,即使防火墙拦截了数据包,Magic Packet仍能触发后门——当数据包抵达内核的BPF引擎时,驻留的后门即被激活。此类特性常见于Rootkit,但在后门程序中极为罕见。
趋势科技最新分析发现,受攻击的Linux服务器还被一种此前未记录的恶意控制器感染。该控制器用于在横向移动后访问同一网络内其他受感染主机。
Mercês补充:控制器在发送BPFDoor植入的BPF过滤器所检测的Magic Packet前,会要求用户输入密码,该密码也将在BPFDoor端进行验证。
随后,控制器会根据提供的密码和命令行选项,指示受感染设备执行以下操作之一:
- 开启反向Shell将新连接重定向至指定端口的Shell确认后门处于活跃状态
需特别指出的是,控制器发送的密码必须与BPFDoor样本中的硬编码值匹配。该控制器除支持TCP、UDP和ICMP协议控制受感染主机外,还可启用加密模式确保通信安全。
此外,控制器支持直接模式(Direct Mode)——当输入正确密码时,攻击者可直连受感染设备并获取远程访问Shell。
Mercês警告:BPF为恶意软件开发者开启了未被探索的新可能。作为威胁研究人员,必须通过分析BPF代码为未来威胁做好准备,这将帮助组织抵御基于BPF的攻击。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
