BPFDoor Malware Detection: Evasive Surveillance Tool Used to Spy on Linux Devices
Tabla de contenidos:
Mala suerte para los administradores de sistemas basados en Linux: los expertos en seguridad han revelado un sofisticado implante de vigilancia que ha pasado desapercibido para los proveedores de protección de endpoints durante cinco años, infectando en secreto miles de entornos Linux. Apodado BPFDoor, el malware abusa del Berkeley Packet Filter (BPF) para actuar como una puerta trasera y proceder con el reconocimiento. Esto convierte a la herramienta recientemente descubierta en el segundo ataque documentado basado en BPF en 2022, siendo la puerta trasera de la NSA el inicial.
Detectar Malware BPFDoor
La detección basada en Sigma a continuación es proporcionada por nuestro atento desarrollador de Threat Bounty Kaan Yeniyol, manteniendo un ojo atento a las amenazas emergentes:
Actores de Amenazas Chinos Usan Puerta Trasera BPFDoor para Atacar Máquinas Linux
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro y AWS OpenSearch.
Las reglas están alineadas con el último marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con el Intérprete de Comando y Scripts (T1059) como la técnica principal.
Se anima a los expertos en ciberseguridad a unirse al programa Threat Bounty para beneficiarse de la experiencia colaborativa de más de 23,000 profesionales, aumentar la velocidad de caza de amenazas y ser recompensados por sus contenidos de detección de amenazas.
Ver Detecciones Unirse a Threat Bounty
¿Qué es BFPDoor?
Según los hallazgos de PwC Threat Intelligence , el implante BFPDoor ha sido aprovechado activamente en la naturaleza por un grupo APT afiliado a China conocido como Red Menshen. En particular, el grupo aprovechó la puerta trasera personalizada en una serie de ataques dirigidos contra organizaciones de telecomunicaciones, entidades gubernamentales, instituciones educativas y empresas de logística en el Medio Oriente y Asia.
Los adversarios aprovechan una tecnología legítima, el Berkeley Packet Filter (BPF), destinada a ser utilizada para transmisiones de paquetes de datos y regulación de acceso, así como para el análisis del tráfico de red. Hoy en día, los ataques basados en BPF están en aumento, con un número creciente de actores de amenazas interesados en usar la herramienta para sus propósitos ofensivos.
BFPDoor es un implante malicioso basado en Linux utilizado principalmente con fines de vigilancia. El mecanismo de ataque presume el abuso de versiones extendidas de la tecnología BPF. Los adversarios pueden penetrar en el sistema de una víctima y ejecutar código remoto sin tener que abrir ningún puerto de red entrante o nuevas reglas de firewall al plantar el implante malicioso. Los hackers aprovechan los enrutadores comprometidos ubicados en Taiwán como túneles VPN para ejecutar BPFDoor a través de Servidores Privados Virtuales (VPS).
Las víctimas de BPFDoor tienen pocas o ninguna posibilidad de detectar un implante malicioso BPFDoor una vez que se vuelve residente. Según los datos actuales, ya se han comprometido miles de sistemas con esta cepa de malware, pero los usuarios afectados permanecen inconscientes de la violación y la persistencia del implante en el sistema.
No posponga el refuerzo de sus defensas: aproveche los beneficios de la plataforma de Detección como Código de SOC Prime para asegurar que su equipo SOC implemente el contenido de detección más reciente tan pronto como sea posible. Para mantenerse al tanto respecto a las amenazas existentes y futuras, siga las actualizaciones de un blog de SOC Prime, que mantiene a los expertos SOC informados sobre el dinámico panorama de la industria de la ciberseguridad.