Scoperta di un nuovo componente del controller associato al backdoor BPFDoor
I ricercatori di cybersecurity hanno scoperto un nuovo componente del controller legato a un noto backdoor chiamato BPFDoor, utilizzato in attacchi informatici che prendono di mira i settori delle telecomunicazioni, della finanza e del retail in paesi come Corea del Sud, Hong Kong, Myanmar, Malesia ed Egitto nel 2024.
Funzionalità del controller
Secondo un rapporto tecnico pubblicato da Trend Micro, il ricercatore Fernando Mercês ha dichiarato: “Il controller potrebbe aprire una reverse shell“. Questo permetterebbe un movimento laterale, consentendo agli attaccanti di penetrare più a fondo nelle reti compromesse, controllare più sistemi o accedere a dati sensibili.
Attribuzione della campagna
La campagna è stata attribuita con media fiducia a un gruppo di minaccia monitorato come Earth Bluecrow, noto anche come DecisiveArchitect, Red Dev 18 e Red Menshen. Il livello di fiducia più basso è dovuto al fatto che il codice sorgente del malware BPFDoor è stato trapelato nel 2022, il che significa che potrebbe essere stato adottato anche da altri gruppi di hacker.
Caratteristiche del malware BPFDoor
BPFDoor è un backdoor per Linux emerso per la prima volta nel 2022, posizionato come uno strumento di spionaggio a lungo termine per attacchi contro entità in Asia e Medio Oriente almeno un anno prima della sua divulgazione pubblica. L’aspetto più distintivo del malware è la creazione di un canale persistente e nascosto per il controllo delle workstation compromesse e l’accesso a dati sensibili per periodi prolungati.
Tecnologia Berkeley Packet Filter
Il malware prende il nome dall’uso del Berkeley Packet Filter (BPF), una tecnologia che consente ai programmi di collegare filtri di rete a un socket aperto per ispezionare i pacchetti di rete in arrivo e monitorare una specifica sequenza di Magic Byte per attivarsi. “A causa di come BPF è implementato nel sistema operativo mirato, il pacchetto magico attiva il backdoor nonostante sia bloccato da un firewall”, ha spiegato Mercês. “Quando il pacchetto raggiunge il motore BPF del kernel, attiva il backdoor residente. Sebbene queste caratteristiche siano comuni nei rootkit, non si trovano tipicamente nei backdoor.”
Analisi di Trend Micro
L’ultima analisi di Trend Micro ha rilevato che i server Linux mirati sono stati infettati anche da un controller di malware precedentemente non documentato, utilizzato per accedere ad altri host compromessi nella stessa rete dopo il movimento laterale. “Prima di inviare uno dei ‘pacchetti magici’ controllati dal filtro BPF inserito dal malware BPFDoor, il controller chiede all’utente una password che verrà verificata anche dal lato BPFDoor”, ha spiegato Mercês.
Azioni del controller
Nel passaggio successivo, il controller indirizza la macchina compromessa a eseguire una delle seguenti azioni in base alla password fornita e alle opzioni della riga di comando utilizzate:
- Aprire una reverse shell.
- Reindirizzare nuove connessioni a una shell su una porta specifica.
- Confermare che il backdoor è attivo.
È importante sottolineare che la password inviata dal controller deve corrispondere a uno dei valori codificati nel campione di BPFDoor. Oltre a supportare i protocolli TCP, UDP e ICMP per comandare gli host infetti, il controller può anche abilitare una modalità crittografata opzionale per una comunicazione sicura.
Fonte: The Hackers News
