Les chasseurs de menaces ont d\u00e9couvert un nouveau malware Linux appel\u00e9 GTPPORTE<\/strong> con\u00e7u pour \u00eatre d\u00e9ploy\u00e9 dans les r\u00e9seaux de t\u00e9l\u00e9communications adjacents aux \u00e9changes d’itin\u00e9rance GPRS (GRX<\/a>)<\/p>\n Le malware<\/a> est nouveau dans le fait qu’il exploite le protocole de tunneling GPRS (GTP<\/a>) pour les communications de commande et de contr\u00f4le (C2).<\/p>\n L’itin\u00e9rance GPRS permet aux abonn\u00e9s d’acc\u00e9der \u00e0 leurs services GPRS lorsqu’ils sont hors de port\u00e9e de leur r\u00e9seau mobile domestique. Ceci est facilit\u00e9 au moyen d’un GRX qui transporte le trafic itin\u00e9rant en utilisant GTP entre le r\u00e9seau mobile terrestre public visit\u00e9 et le r\u00e9seau mobile terrestre public d’origine (PLMN<\/a>).<\/p>\n Haxrob, chercheur en s\u00e9curit\u00e9, qui a d\u00e9couvert deux GTPPORTE<\/a> artefacts<\/a> t\u00e9l\u00e9charg\u00e9 sur VirusTotal depuis la Chine et l’Italie, a d\u00e9clar\u00e9 que la porte d\u00e9rob\u00e9e est probablement li\u00e9e \u00e0 un acteur mena\u00e7ant connu suivi sous le nom de LightBasin (alias UNC1945), qui avait d\u00e9j\u00e0 \u00e9t\u00e9 divulgu\u00e9 par CrowdStrike en octobre 2021 dans le cadre d’une s\u00e9rie d’attaques ciblant le secteur des t\u00e9l\u00e9communications pour voler des abonn\u00e9s. informations et m\u00e9tadonn\u00e9es d\u2019appel.<\/p>\n “Lors de son ex\u00e9cution, la premi\u00e8re chose que fait GTPDOOR est que le nom du processus se pi\u00e9tine lui-m\u00eame – en changeant son nom de processus en ‘[syslog]” \u2013 d\u00e9guis\u00e9 en syslog invoqu\u00e9 depuis le noyau”, a d\u00e9clar\u00e9 le chercheur. “Il supprime les signaux enfants puis ouvre un socket brut [that] permettra \u00e0 l’implant de recevoir des messages UDP qui atteignent les interfaces r\u00e9seau.”<\/p>\n En d\u2019autres termes, GTPDOOR permet \u00e0 un acteur malveillant qui a d\u00e9j\u00e0 \u00e9tabli sa persistance sur le r\u00e9seau d\u2019\u00e9change itin\u00e9rant de contacter un h\u00f4te compromis en envoyant des messages GTP-C Echo Request avec une charge utile malveillante.<\/p>\n Ce message magique GTP-C Echo Request agit comme un canal pour transmettre une commande \u00e0 ex\u00e9cuter sur la machine infect\u00e9e et renvoyer les r\u00e9sultats \u00e0 l’h\u00f4te distant.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-logiciel-malveillant-GTPDOOR-Linux-cible-les-telecommunications-en-exploitant.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n