Uzmanlar yakın zamanda Linux için BPFDoor kötü amaçlı yazılımının yükseltilmiş bir sürümünü keşfettiler. (yeni sekmede açılır)bunu tespit etmek görünüşte daha zor – ve sonuç olarak, hiçbir virüsten koruma programı hala yürütülebilir dosyayı kötü amaçlı olarak işaretlemiyor.
Deep Instinct’ten siber güvenlik araştırmacıları, ilk olarak 2022’de keşfedilen BPFDoor’un en az 2017’den beri aktif olduğunu kaydetti. Araç, adını talimat almak için kullandığı Berkley Packet Filter (BPF)’nin (ab)kullanımından aldı. ve tüm güvenlik duvarlarını atlayın.
Tasarımının, tehdit aktörlerinin güvenliği ihlal edilmiş bir Linux sisteminde daha uzun süre tespit edilmeden kalmasına izin verdiği söylendi. BPFDoor’un temel özelliği, tehdit aktörlerinin tüm ağ trafiğini görmesine ve güvenlik açıklarını bulmasına ve ayrıca (artık) filtresiz ve engellenmemiş kanallar aracılığıyla uzaktan kod göndermesine izin vermesidir.
Ağ trafiğine bir göz atın
Ayrıca BPFDoor, kötü amaçlı trafiği yasal olanla harmanlayarak tespit ve düzeltmeyi daha da zorlaştırabilir.
Ancak BleepingComputer, hiçbir antivirüsün BPFDoor’u hala kötü amaçlı olarak işaretlemediği göz önüne alındığında, sistem yöneticilerinin onu tespit etmenin tek yolunun ağ trafiğini ve günlükleri “şiddetle” izlemek olduğunu ekliyor. En gelişmiş uç nokta koruma çözümlerini kullanmalı ve “/var/run/initd.lock” üzerinde dosya bütünlüğünü izlemeliler. BPFDoor’un kendisini alt süreç olarak çalıştırmadan önce bir çalışma zamanı oluşturduğu ve kilitlediği yer burasıdır.
TheHackerNews ayrıca BPFDoor’un genellikle Çin ile ilişkili bir tehdit aktörü olan Red Menshen tarafından kullanıldığını iddia ediyor. 2021’den beri aktif olan grup, çoğunlukla Orta Doğu ve Asya’daki telekomünikasyon sağlayıcılarının yanı sıra devlet kurumları, eğitim firmaları ve lojistik şirketlerine ait Linux işletim sistemlerini hedefliyor.
Grup, ilk erişimi elde ettikten sonra Mangzamel, Gh0st, Mimikatz ve Metasplit gibi çeşitli özel araçları kullanacaktı.
Grubun faaliyetlerinin çoğu iş günlerinde ve çalışma saatlerinde (9-5, Pazartesiden Cumaya) gerçekleşir.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
