Pesquisadores de cibersegurança descobriram um novo componente de controle associado a um backdoor conhecido como BPFDoor, como parte de ataques cibernéticos visando os setores de telecomunicações, finanças e varejo na Coreia do Sul, Hong Kong, Mianmar, Malásia e Egito em 2024.
"O controle poderia abrir um reverse shell," disse o pesquisador da Trend Micro, Fernando Mercês, em um relatório técnico publicado no início da semana.
"Isso permitiria movimento lateral, possibilitando aos atacantes penetrar mais profundamente nas redes comprometidas, permitindo-lhes controlar mais sistemas ou acessar dados sensíveis.
A campanha foi atribuída a um grupo de ameaça que rastreia como Earth Bluecrow, que também é conhecido como DecisiveArchitect, Red Dev 18, e Red Menshen.
BPFDoor é um backdoor Linux que veio à luz pela primeira vez em 2022, com o malware posicionado como uma ferramenta de espionagem de longo prazo para uso em ataques visando entidades na Ásia e no Oriente Médio pelo menos um ano antes da divulgação pública.
O aspecto mais distintivo do malware é que ele cria um canal persistente, porém oculto, para que os atores de ameaças controlem estações de trabalho comprometidas e acessem dados sensíveis por períodos prolongados de tempo.
O malware recebeu o nome do uso do Berkeley Packet Filter (BPF), uma tecnologia que permite aos programas anexar filtros de rede a um socket aberto para inspecionar pacotes de rede entrantes e monitorar uma sequência específica de Magic Byte, de modo a entrar em ação.
"Devido à forma como o BPF é implementado no sistema operacional alvo, o pacote mágico dispara o backdoor apesar de ser bloqueado por um firewall," disse Mercês.
"À medida que o pacote alcança o motor BPF do kernel, ativa o backdoor residente.
Embora esses recursos sejam comuns em rootkits, eles não são tipicamente encontrados em backdoors." A análise mais recente da Trend Micro descobriu que os servidores Linux alvo também foram infectados por um controlador de malware anteriormente não documentado que é usado para acessar outros hosts afetados na mesma rede após o movimento lateral.
"Antes de enviar um dos ‘pacotes mágicos’ verificados pelo filtro BPF inserido pelo malware BPFDoor, o controlador solicita uma senha ao seu usuário, que também será verificada do lado do BPFDoor," explicou Mercês.
No próximo passo, o controlador direciona a máquina comprometida para realizar uma das ações abaixo, com base na senha fornecida e nas opções de linha de comando usadas -
1. Abrir um reverse shell
2. Redirecionar novas conexões para um shell em uma porta específica, ou
3. Confirmar que o backdoor está ativo
Vale ressaltar que a senha enviada pelo controlador deve corresponder a um dos valores codificados no exemplo BPFDoor.
O controlador, além de suportar os protocolos TCP, UDP e ICMP para comandar os hosts infectados, também pode habilitar um modo criptografado opcional para comunicação segura.
Além disso, o controlador suporta o que é chamado de modo direto, que permite aos atacantes se conectar diretamente a uma máquina infectada e obter um shell para acesso remoto – mas apenas quando fornecida a senha correta.
"BPF abre uma nova janela de possibilidades inexploradas para autores de malware explorarem," disse Mercês.
"Como pesquisadores de ameaças, é essencial estar equipado para desenvolvimentos futuros analisando o código BPF, o que ajudará a proteger as organizações contra ameaças impulsionadas por BPF."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...