A Descoberta
Pesquisadores de segurança cibernética descobriram um novo componente de controlador vinculado ao conhecido backdoor BPFDoor, usado em ataques cibernéticos que visaram os setores de telecomunicações, finanças e varejo na Coreia do Sul, Hong Kong, Mianmar, Malásia e Egito ao longo de 2024.
“O controlador pode abrir um shell reverso”, disse o pesquisador da Trend Micro Fernando Mercês em um relatório técnico publicado no início desta semana. “Isso permite a movimentação lateral, permitindo que invasores penetrem mais profundamente em redes comprometidas, assumam o controle de sistemas adicionais e, potencialmente, acessem dados confidenciais.”
Pesquisadores atribuíram a campanha — com confiança moderada — ao grupo de ameaças Earth Bluecrow, também conhecido como DecisiveArchitect, Red Dev 18 e Red Menshen. Esse nível de confiança decorre do fato de que o código-fonte do malware BPFDoor foi vazado em 2022, o que significa que outros grupos de hackers também podem tê-lo adotado.
O BPFDoor é um backdoor Linux que veio à tona publicamente em 2022, embora já tivesse sido usado em operações de espionagem de longo prazo contra entidades na Ásia e no Oriente Médio pelo menos um ano antes.
Uma das características mais marcantes do malware é sua capacidade de estabelecer um canal de comunicação persistente, porém secreto, permitindo que os agentes da ameaça controlem sistemas comprometidos e extraiam dados confidenciais por longos períodos.
Malware BPFDoor
O nome do malware advém do uso do Berkeley Packet Filter (BPF), uma Tecnologia que permite que Programas Conectem filtros de rede a Soquetes abertos para Inspecionar pacotes de entrada e Detectar uma Sequência Específica de Magic Byte para acionar sua Atividade.
“Devido ao funcionamento do BPF no sistema operacional alvo, o pacote mágico ativa o backdoor mesmo quando bloqueado por um firewall”, observou Mercês. “Ao atingir o mecanismo BPF do kernel, o pacote aciona o backdoor residente. Embora rootkits frequentemente apresentem esse tipo de comportamento, ele é incomum em backdoors tradicionais.”
A análise mais recente da Trend Micro também revelou que os Servidores Linux Comprometidos Continham um Controlador não Documentado Anteriormente. Este Componente permite o acesso a hosts Adicionais na mesma rede após a Ocorrência de Movimento lateral.
“Antes de enviar um dos ‘pacotes mágicos’ filtrados pelo módulo BPF do BPFDoor, o controlador solicita uma senha ao usuário”, explicou Mercês. Essa senha também é verificada no lado do BPFDoor.
Na próxima etapa, o Controlador instrui a máquina Comprometida a Realizar uma das Seguintes ações, Dependendo da senha Fornecida e das opções de linha de comando Utilizadas:
-
Abrir um shell reverso
-
Redirecionar novas Conexões para um shell em uma porta Especificada
-
Verifique se o Backdoor Permanece ativo
Notavelmente, a senha enviada pelo Controlador deve Corresponder a um dos valores Codificados Incorporados no exemplo BPFDoor. Além de Suportar os Protocolos TCP, UDP e ICMP para assumir o Controle de hosts Infectados, o Controlador também pode ativar um modo Criptografado Opcional para Garantir uma Comunicação Segura.
Além disso, o Controlador possui um modo direto, que permite que Invasores se Conectem Diretamente a uma máquina Comprometida e Obtenham acesso ao shell — porém, somente quando a senha correta for Fornecida.
“O BPF abre uma nova janela de possibilidades inexploradas para os autores de malware explorarem”, disse Mercês. Como pesquisadores de ameaças, precisamos estar preparados para desenvolvimentos futuros, analisando o código BPF. Essa abordagem fortalecerá nossa capacidade de defender organizações contra ameaças alimentadas por BPF.
Fonte: TheHackerNews
