Los investigadores de seguridad cibernética han desenterrado un nuevo componente de controlador asociado con una puerta trasera conocida llamada BPFDoor como parte de los ataques cibernéticos dirigidos a los sectores de telecomunicaciones, finanzas y minoristas en Corea del Sur, Hong Kong, Myanmar, Malasia y Egipto en 2024.
“El controlador podría abrir una carcasa inversa”, Micro investigador de tendencia Fernando Mercês dicho en un informe técnico publicado a principios de la semana. “Esto podría permitir el movimiento lateral, lo que permite a los atacantes entrar más profundamente en redes comprometidas, lo que les permite controlar más sistemas o obtener acceso a datos confidenciales.
La campaña se ha atribuido con la confianza media a un grupo de amenazas que rastrea como Earth BlueCrow, que también se conoce como Decisivearchitect, Red Dev 18 y Red Menshen. El nivel de confianza más bajo se reduce al hecho de que el código fuente de malware BPFDoor fue filtrado en 2022lo que significa que también podría haber sido adoptado por otros grupos de piratería.
BPFDoor es una puerta trasera de Linux que Primero salió a la luz En 2022, con el malware posicionado como una herramienta de espionaje a largo plazo para su uso en ataques dirigidos a entidades en Asia y Medio Oriente al menos un año antes de la divulgación pública.
El aspecto más distintivo del malware es que crea un canal persistente pero cobarde para que los actores de amenaza controlen las estaciones de trabajo comprometidas y accedan a los datos confidenciales durante períodos prolongados de tiempo.
El malware obtiene su nombre del uso del filtro de paquetes de Berkeley (BPF), una tecnología que permite que los programas adjuntaran filtros de red a un enchufe abierto para inspeccionar los paquetes de red entrantes y monitorear una secuencia de bytes mágica específica para entrar en acción.
“Debido a cómo se implementa BPF en el sistema operativo objetivo, el paquete mágico desencadena la puerta trasera a pesar de ser bloqueado por un firewall”, dijo Mercês. “A medida que el paquete alcanza el motor BPF del kernel, activa la puerta trasera residente. Si bien estas características son comunes en los raíces, no se encuentran típicamente en las puertas traseras”.
El último análisis de Trend Micro ha encontrado que los servidores de Linux dirigidos también han sido infectados por un controlador de malware previamente indocumentado que se utiliza para acceder a otros hosts afectados en la misma red después del movimiento lateral.
“Antes de enviar uno de los ‘paquetes mágicos’ verificados por el filtro BPF insertado por BPFDoor Malware, el controlador le pide a su usuario una contraseña que también se verifique en el lado BPFDoor”, explicó Mercês.
En el siguiente paso, el controlador dirige a la máquina comprometida para realizar una de las acciones a continuación en función de la contraseña proporcionada y las opciones de línea de comandos utilizadas –
- Abrir una carcasa inversa
- Redirigir nuevas conexiones a un shell en un puerto específico, o
- Confirmar que la puerta trasera está activa
Vale la pena señalar que la contraseña enviada por el controlador debe coincidir con uno de los valores codificados en la muestra BPFDoor. El controlador, además de admitir los protocolos TCP, UDP e ICMP para comandar los hosts infectados, también puede habilitar un modo cifrado opcional para una comunicación segura.
Además, el controlador admite lo que se llama modo directo que permite a los atacantes conectarse directamente a una máquina infectada y obtener un shell para acceso remoto, pero solo cuando se le proporciona la contraseña correcta.
“BPF abre una nueva ventana de posibilidades inexploradas para que los autores de malware exploten”, dijo Mercês. “Como investigadores de amenazas, es imprescindible estar equipado para futuros desarrollos mediante el análisis del código BPF, lo que ayudará a proteger a las organizaciones contra las amenazas con BPF”.
About the Author
