Η ομάδα APT RedMenshen εξελίσσει ταχύτατα το BPFDoor Malware.
Οι περισσότερες απειλητικές ομάδες που διανέμουν κακόβουλο λογισμικό επιδιώκουν τη μεγαλύτερη δυνατή απόδοση των κακόβουλων προσπαθειών τους, γι’ αυτό και πολλά από τα συστήματα που στοχεύουν τρέχουν το λειτουργικό σύστημα Windows της Microsoft.
Ωστόσο, οι απειλητικοί φορείς APT -συμπεριλαμβανομένων εκείνων που εκτελούν εκστρατείες ransomware- ενδιαφέρονται περισσότερο να διατηρήσουν την παρουσία τους απαρατήρητη στα συστήματα των θυμάτων τους. Τα τελευταία χρόνια, οι ομάδες αυτές έχουν επεκτείνει το πεδίο των στόχων τους και περιλαμβάνουν cloud servers και συστήματα που εκτελούν Linux και άλλα λειτουργικά συστήματα εκτός Windows, σύμφωνα με την εταιρεία κυβερνοασφάλειας Trend Micro.
Στο cloud, αυτό περιελάμβανε ομάδες ransomware που στόχευαν συστήματα που εκτελούσαν διακομιστές VMware ESXi και μια σειρά παραλλαγών του botnet Mirai. Επιπλέον, το διαβόητο κακόβουλο λογισμικό Sandworm, που αναπτύχθηκε από τη ρωσική μονάδα στρατιωτικών πληροφοριών GRU, χρησιμοποιήθηκε εναντίον δρομολογητών δικτύου που εκτελούν Linux.
Η Red Menshen είναι μια άλλη ομάδα APT που εξελίσσει ταχύτατα το κακόβουλο λογισμικό BPFDoor backdoor για να στοχεύει συστήματα που εκτελούν Linux ή Solaris. Αυτή η ομάδα, επίσης γνωστή ως DecisiveArchitect και Red Dev 18, έχει βελτιώσει τη χρήση του Berkeley Packet Filter (BPF), ενός νόμιμου εργαλείου που επιτρέπει σε προγράμματα που εκτελούνται σε ορισμένα λειτουργικά συστήματα να αναλύουν την κυκλοφορία δικτύου.
Η Red Menshen στοχεύει στις τηλεπικοινωνίες και άλλες βιομηχανίες, κυρίως στην Τουρκία και το Χονγκ Κονγκ.
Δείτε επίσης: Υπάλληλος IT φυλακίστηκε γιατί παρίστανε ransomware ομάδα και εκβίαζε τον εργοδότη του
Είναι δύσκολο να πιαστεί
Για την απειλητική ομάδα , το BPF καθιστά πιο δύσκολο τον εντοπισμό του BPFDoor, σύμφωνα με τον Fernando Merces, ανώτερο ερευνητή απειλών της Trend Micro. Η τεχνολογία “επιτρέπει στα προγράμματα να προσαρτούν φίλτρα δικτύου σε μια ανοιχτή υποδοχή που χρησιμοποιείται από τους απειλητικούς φορείς πίσω από το BPFDoor για να παρακάμψουν τους κανόνες εισερχόμενης κυκλοφορίας των firewalls και παρόμοιες λύσεις προστασίας δικτύου στα λειτουργικά συστήματα (OS) Linux και Solaris”, έγραψε ο Merces σε μια έκθεση.
Κανένα από τα δύο λειτουργικά συστήματα δεν είναι κορυφαίο στον τομέα του. Στη συνολική παγκόσμια αγορά λειτουργικών συστημάτων, τα Windows αντιπροσωπεύουν περισσότερο από το 28%, ενώ το Linux καταλαμβάνει το 1,3%, σύμφωνα με την StatCounter. Υπάρχουν πάνω από 44.000 εταιρείες που χρησιμοποιούν το Solaris, το οποίο έχει μερίδιο περίπου 0,9% στο χώρο των λειτουργικών συστημάτων, αναφέρει η Enlyft.
Αν και το μερίδιο αγοράς τους μπορεί να είναι χαμηλό, τα Linux και Solaris χρησιμοποιούνται από εταιρείες όλων των μεγεθών και σε ένα ευρύ φάσμα βιομηχανιών, γεγονός που εξηγεί γιατί μια ομάδα APT όπως η Red Menshen καταβάλλει προσπάθεια να στοχεύσει αυτά τα συστήματα. Η Trend Micro παρακολουθεί δύο εκδόσεις: μία για συστήματα Linux και μία για servers που τρέχουν Solaris. Ο Merces πρόσθεσε ότι η ομάδα βελτιώνει επιθετικά τις δυνατότητές της.
Τώρα υπάρχουν έξι φορές περισσότερες οδηγίες στα φίλτρα BPF του κακόβουλου λογισμικού από όσες είχαν βρεθεί σε δύο δείγματα πέρυσι.
Η Red Menshen, μια κινεζική απειλή, χρησιμοποιεί το BPF -το αντίστοιχο του Linux ονομάζεται Linux Socket Filtering (LSF)- για να φορτώνει φίλτρα πακέτων στον πυρήνα του Linux. Τα φίλτρα επιτρέπουν στους επιτιθέμενους να ενεργοποιούν το κακόβουλο λογισμικό με ένα μόνο πακέτο δικτύου, καθώς αυτό φτάνει στο BPF του πυρήνα πριν φτάσει στο firewall, το οποίο διαφορετικά θα το μπλοκάριζε. Στη συνέχεια, το BPFDoor ανοίγει ένα reverse shell που δέχεται εντολές από τον επιτιθέμενο και δίνει στο κακόβουλο λογισμικό τα προνόμια root που χρειάζεται για να λειτουργήσει.
Δείτε επίσης: JumpCloud: Hacking επίθεση οδήγησε σε παραβίαση
Δείτε επίσης: Οι χάκερ εκμεταλλεύονται ενεργά δύο ευπάθειες του ColdFusion
Περισσότερες παραλλαγές που εμφανίζονται
Τα δείγματα κακόβουλου λογισμικού – ένα από αυτά ονομάζεται Variant A – που βρέθηκαν πριν από το 2023 περιείχαν το ίδιο πρόγραμμα BPF και περιλάμβαναν 30 οδηγίες. Η Trend Micro εργάστηκε με τέσσερα δείγματα φέτος και εντόπισε περισσότερες παραλλαγές. Η παραλλαγή B περιείχε 39 οδηγίες, γεγονός που μπορεί να υποδεικνύει ότι οι προγραμματιστές του BPFDoor ήθελαν έναν άλλο τρόπο ενεργοποίησης του backdoor μετά τις αναφορές που έριξαν φως στον τρόπο λειτουργίας της προηγούμενης παραλλαγής, έγραψε ο Merces.
Η παραλλαγή C έχει περίπου εξαπλάσιο αριθμό εντολών – 205 – ενώ η παραλλαγή Δ έχει 229. Η Deep Instinct, μια εταιρεία κυβερνοασφάλειας, βρήκε μια άλλη παραλλαγή που η Trend Micro αναφέρει ως Variant E.
Η χρήση ενσωματωμένου bytecode BPF σε κακόβουλο λογισμικό θα προκαλέσει πονοκεφάλους στους οργανισμούς και τους αναλυτές ασφαλείας. Αν και δεν χρησιμοποιείται σε μεγάλο βαθμό σε κακόβουλο λογισμικό και δεν υπάρχουν πολλά εργαλεία για την ανάλυση και το debugging τέτοιου bytecode, μπορεί να δώσει στους επιτιθέμενους πλήρη πρόσβαση σε ένα μολυσμένο σύστημα.
Σύμφωνα με την Trend Micro, οι network defenders πρέπει να ενημερώσουν τους κανόνες τους για να αντιμετωπίσουν αυτή την τάση και οι αναλυτές κακόβουλου λογισμικού πρέπει να εξετάσουν προσεκτικότερα τα φίλτρα BPF στο κακόβουλο λογισμικό.
Πηγή πληροφοριών: securityboulevard.com
