Caçadores de ameaças descobriram um novo malware Linux chamado GTPDOOR, projetado para ser implantado em redes de telecomunicações adjacentes a bolsas de roaming GRX (GPRS).
O malware é novo pelo fato de aproveitar o Protocolo de Túneis GPRS (GTP) para comunicações de comando e controle (C2).
O roaming GPRS permite que os assinantes acessem seus serviços GPRS enquanto estão fora do alcance de sua rede móvel doméstica.
Isso é facilitado por meio de uma GRX que transporta o tráfego de roaming usando GTP entre o visitado e a Rede Móvel Pública Terrestre (PLMN) do domicílio.
O pesquisador de segurança haxrob, que descobriu dois artefatos GTPDOOR carregados no VirusTotal da China e da Itália, disse que a backdoor provavelmente está ligada a um ator de ameaça conhecido como LightBasin (também conhecido como UNC1945), que foi previamente revelado pela CrowdStrike em outubro de 2021, em conexão com uma série de ataques direcionados ao setor de telecomunicações para roubar informações de assinantes e metadados de chamadas.
"Quando executado, a primeira coisa que o GTPDOOR faz é pisar no nome do processo - mudando seu nome de processo para '[syslog]' - disfarçado de syslog invocado a partir do kernel", disse o pesquisador.
"Ele suprime sinais infantis e depois abre um soquete bruto que permitirá ao implante receber mensagens UDP que atingem as interfaces de rede"
Dito de outra forma, o GTPDOOR permite que um ator de ameaça que já estabeleceu persistência na rede de roaming entre em contato com um host comprometido enviando mensagens de solicitação de Eco GTP-C com uma payload maliciosa.
Essa mágica mensagem de solicitação de eco GTP-C atua como um conduto para transmitir um comando a ser executado na máquina infectada e retornar os resultados ao host remoto.
O GTPDOOR "pode ser investigado secretamente a partir de uma rede externa para provocar uma resposta, enviando um pacote TCP para qualquer número de porta", observou o pesquisador.
"Se o implante estiver ativo, um pacote TCP vazio elaborado será retornado junto com informações se a porta de destino estava aberta / respondendo no host."
"Esse implante parece que foi projetado para sentar-se em hosts comprometidos que tocam diretamente a rede GRX - são esses os sistemas que se comunicam com outras redes de operadoras de telecomunicações via GRX."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...