Киберпреступная группа Earth Bluecrow, известная также под именами DecisiveArchitect, Red Dev 18 и Red Menshen, в 2024 году активизировала атаки на телекоммуникационные, финансовые и розничные компании в Южной Корее, Гонконге, Мьянме, Малайзии и Египте. В центре внимания специалистов оказался новый управляющий компонент вредоносной программы BPFDoor, способный обеспечивать скрытое боковое перемещение злоумышленников внутри корпоративных сетей на Linux-серверах.
BPFDoor впервые была публично раскрыта в 2022 году, но её использование началось минимум за год до этого, преимущественно в странах Азии и Ближнего Востока. Программа отличается тем, что создает устойчивый и малозаметный канал для долгосрочного шпионажа, давая злоумышленникам возможность длительно контролировать инфицированные машины и извлекать конфиденциальные данные.
Название BPFDoor связано с применением Berkeley Packet Filter (BPF) — технологии, которая позволяет фильтровать сетевые пакеты на уровне ядра Linux. Вредонос использует BPF для мониторинга входящих сетевых пакетов с определённой сигнатурой (magic packet). Даже если на сервере действует файервол, специально сформированный пакет активирует скрытый канал управления через BPF, обходя стандартные средства защиты. «Такие возможности обычно встречаются в руткитах, но крайне редко реализуются в бэкдорах», — отмечает исследователь Trend Micro Фернанду Мерсес.
Новое управляющее ПО, обнаруженное аналитиками Trend Micro, представляет собой не документированный ранее компонент, который развертывается на инфицированных Linux-серверах. Его задача — помогать злоумышленникам продвигаться к другим системам после проникновения в сеть, реализуя боковое перемещение и расширяя контроль над инфраструктурой.
Перед использованием управляющий компонент требует ввода пароля, который должен совпасть с одним из жёстко зашитых значений в экземпляре BPFDoor. После аутентификации возможны следующие действия: открытие обратной оболочки (reverse shell) для удалённого управления, переадресация новых подключений к командной оболочке на выбранном порту, а также проверка работоспособности бэкдора. Все эти функции доступны через различные протоколы — TCP, UDP и ICMP, а для дополнительной скрытности предусмотрен режим шифрования трафика.
Технологически изощрённый reverse shell позволяет атакующим незаметно внедряться глубже в скомпрометированные сети. «Управляющий компонент может открыть обратную оболочку, позволяя злоумышленникам проникать всё глубже в атакуемые сети», — подчёркивает Фернанду Мерсес.
В некоторых сценариях управляющий компонент работает в прямом режиме: при знании правильного пароля атакующий может получить командную оболочку напрямую, без дополнительного взаимодействия.
Активное использование BPF в составе вредоноса открывает новые возможности для злоумышленников: фильтрация и обработка сетевых данных на уровне ядра усложняет обнаружение и блокировку подобных угроз традиционными средствами. «Исследователям необходимо быть готовыми к будущим атакам, анализируя BPF-код, чтобы защитить организации от подобных угроз», — советует Фернанду Мерсес.
BPFDoor и его новые управляющие компоненты демонстрируют, что злоумышленники осваивают всё более сложные и незаметные техники внедрения, делая защиту Linux-инфраструктуры критически важной для компаний, работающих в уязвимых регионах и отраслях.
Изображение носит иллюстративный характер
BPFDoor впервые была публично раскрыта в 2022 году, но её использование началось минимум за год до этого, преимущественно в странах Азии и Ближнего Востока. Программа отличается тем, что создает устойчивый и малозаметный канал для долгосрочного шпионажа, давая злоумышленникам возможность длительно контролировать инфицированные машины и извлекать конфиденциальные данные.
Название BPFDoor связано с применением Berkeley Packet Filter (BPF) — технологии, которая позволяет фильтровать сетевые пакеты на уровне ядра Linux. Вредонос использует BPF для мониторинга входящих сетевых пакетов с определённой сигнатурой (magic packet). Даже если на сервере действует файервол, специально сформированный пакет активирует скрытый канал управления через BPF, обходя стандартные средства защиты. «Такие возможности обычно встречаются в руткитах, но крайне редко реализуются в бэкдорах», — отмечает исследователь Trend Micro Фернанду Мерсес.
Новое управляющее ПО, обнаруженное аналитиками Trend Micro, представляет собой не документированный ранее компонент, который развертывается на инфицированных Linux-серверах. Его задача — помогать злоумышленникам продвигаться к другим системам после проникновения в сеть, реализуя боковое перемещение и расширяя контроль над инфраструктурой.
Перед использованием управляющий компонент требует ввода пароля, который должен совпасть с одним из жёстко зашитых значений в экземпляре BPFDoor. После аутентификации возможны следующие действия: открытие обратной оболочки (reverse shell) для удалённого управления, переадресация новых подключений к командной оболочке на выбранном порту, а также проверка работоспособности бэкдора. Все эти функции доступны через различные протоколы — TCP, UDP и ICMP, а для дополнительной скрытности предусмотрен режим шифрования трафика.
Технологически изощрённый reverse shell позволяет атакующим незаметно внедряться глубже в скомпрометированные сети. «Управляющий компонент может открыть обратную оболочку, позволяя злоумышленникам проникать всё глубже в атакуемые сети», — подчёркивает Фернанду Мерсес.
В некоторых сценариях управляющий компонент работает в прямом режиме: при знании правильного пароля атакующий может получить командную оболочку напрямую, без дополнительного взаимодействия.
Активное использование BPF в составе вредоноса открывает новые возможности для злоумышленников: фильтрация и обработка сетевых данных на уровне ядра усложняет обнаружение и блокировку подобных угроз традиционными средствами. «Исследователям необходимо быть готовыми к будущим атакам, анализируя BPF-код, чтобы защитить организации от подобных угроз», — советует Фернанду Мерсес.
BPFDoor и его новые управляющие компоненты демонстрируют, что злоумышленники осваивают всё более сложные и незаметные техники внедрения, делая защиту Linux-инфраструктуры критически важной для компаний, работающих в уязвимых регионах и отраслях.
