Tehdit avcıları yeni bir Linux kötü amaçlı yazılımı keşfettiler GTPDOOR GPRS dolaşım santrallerine bitişik telekom ağlarında dağıtılmak üzere tasarlanmıştır (GRX)
kötü amaçlı yazılım GPRS Tünel Protokolünü kullanması açısından yenidir (GTP) komuta ve kontrol (C2) iletişimleri için.
GPRS dolaşımı, abonelerin kendi evlerindeki mobil ağların erişimi dışındayken GPRS hizmetlerine erişmelerine olanak tanır. Bu, ziyaret edilen ile evdeki Kamu Kara Mobil Ağı arasında dolaşım trafiğini GTP kullanarak aktaran bir GRX aracılığıyla kolaylaştırılır (PLMN).
İki tanesini keşfeden güvenlik araştırmacısı Haxrob GTPDOOR eserler Çin ve İtalya’dan VirusTotal’a yüklenen arka kapının muhtemelen LightBasin (namı diğer UNC1945) olarak takip edilen bilinen bir tehdit aktörüyle bağlantılı olduğunu söyledi. Bu kişi daha önce Ekim 2021’de abone çalmak amacıyla telekom sektörünü hedef alan bir dizi saldırıyla bağlantılı olarak CrowdStrike tarafından ifşa edilmişti. bilgi ve çağrı meta verileri.
“Çalıştırıldığında, GTPDOOR’un yaptığı ilk şey süreç adının kendisini durdurması ve süreç adını ” olarak değiştirmesidir.[syslog]’ – çekirdekten çağrılan sistem günlüğü olarak gizlenmiş” dedi araştırmacı. “Çocuk sinyallerini bastırıyor ve ardından ham bir soket açıyor [that] implantın ağ arayüzlerine ulaşan UDP mesajlarını almasına olanak tanıyacak.”
Başka bir deyişle, GTPDOOR, dolaşımdaki değişim ağında zaten kalıcılık kurmuş bir tehdit aktörünün, kötü amaçlı bir yük ile GTP-C Yankı İsteği mesajları göndererek güvenliği ihlal edilmiş bir ana bilgisayarla iletişim kurmasına olanak tanır.
Bu sihirli GTP-C Yankı İsteği mesajı, virüslü makinede yürütülecek bir komutu iletmek ve sonuçları uzaktaki ana bilgisayara geri göndermek için bir kanal görevi görür.
GTPDOOR Araştırmacı, “Herhangi bir bağlantı noktası numarasına TCP paketi göndererek yanıt almak için harici bir ağdan gizlice incelenebilir” dedi. “İmplant aktifse, hazırlanmış boş bir TCP paketi, hedef bağlantı noktasının ana makinede açık olup olmadığı/yanıt verip vermediği bilgisi ile birlikte döndürülür.”
“Bu implant, GRX ağına doğrudan temas eden güvenliği ihlal edilmiş ana bilgisayarlara yerleştirilecek şekilde tasarlanmış gibi görünüyor; bunlar, GRX aracılığıyla diğer telekomünikasyon operatörü ağlarıyla iletişim kuran sistemlerdir.”
