Détection du Malware BPFDoor : Outil de Surveillance Évasif Utilisé pour Espionner les Appareils Linux
Table des matières :
Mauvaise nouvelle pour les administrateurs de systèmes basés sur Linux – des experts en sécurité ont révélé un logiciel espion sophistiqué qui est passé sous les radars des fournisseurs de protection des endpoints pendant cinq ans, infectant secrètement des milliers d’environnements Linux. Surnommé BPFDoor, le malware exploite le Berkeley Packet Filter (BPF) pour agir comme une porte dérobée et procéder à des reconnaissances. Cela fait de cet outil récemment découvert la deuxième attaque basée sur BPF documentée en 2022, la porte dérobée de la NSA étant la première.
Détecter le Malware BPFDoor
La détection basée sur Sigma ci-dessous est fournie par notre développeur Threat Bounty vigilant Kaan Yeniyol, gardant un œil attentif sur les menaces émergentes :
Des acteurs de la menace chinois utilisent la porte dérobée BPFDoor pour cibler les machines Linux
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro et AWS OpenSearch.
Les règles sont alignées avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’Exécution avec l’Interpréteur de Commandes et Scripts (T1059) comme technique principale.
Les experts en cybersécurité sont encouragés à rejoindre le programme Threat Bounty pour bénéficier de l’expertise collaborative de plus de 23 000 professionnels, augmenter la vitesse de chasse aux menaces et être récompensés pour leur contenu de détection des menaces.
Voir les Détections Rejoindre le Threat Bounty
Qu’est-ce que BFPDoor ?
Selon les découvertes de PwC Threat Intelligence , l’implant BFPDoor a été activement utilisé dans la nature par un groupe APT affilié à la Chine connu sous le nom de Red Menshen. En particulier, le groupe a utilisé la porte dérobée personnalisée dans une série d’attaques ciblées contre des organisations de télécommunications, des entités gouvernementales, des institutions éducatives et des entreprises de logistique au Moyen-Orient et en Asie.
Les adversaires tirent parti d’une technologie légitime, le Berkeley Packet Filter (BPF), conçue pour être utilisée pour la transmission des paquets de données et la régulation de l’accès ainsi que l’analyse du trafic réseau. Aujourd’hui, les attaques basées sur BPF sont en hausse, un nombre croissant d’acteurs de la menace étant intéressés par l’utilisation de cet outil à des fins offensives.
BPFdoor est un implant malveillant basé sur Linux principalement utilisé à des fins de surveillance. Le mécanisme d’attaque présume l’abus de versions étendues de la technologie BPF. Les adversaires peuvent pénétrer dans le système d’une victime et exécuter du code à distance sans avoir à ouvrir de ports réseau entrants ni de nouvelles règles de pare-feu lors de l’implantation du logiciel malveillant. Les pirates exploitent des routeurs localisés à Taïwan compromis comme tunnels VPN pour exécuter BPFdoor via des serveurs privés virtuels (VPS).
Les victimes de BPFDoor ont peu, voire aucune chance, de détecter un implant malveillant furtif BPFDoor une fois qu’il est résident. Selon les données actuelles, des milliers de systèmes ont déjà été compromis par cette souche de malware, mais les utilisateurs affectés restent inconscients de la brèche et de la persistance de l’implant dans le système.
Ne retardez pas le renforcement de votre défense – profitez des avantages de la plateforme Detection as Code de SOC Prime pour s’assurer que votre équipe SOC implémente le contenu de détection le plus récent aussi rapidement que possible. Pour rester informé des menaces existantes et à venir, suivez les mises à jour d’un blog SOC Prime, qui informe les experts SOC de l’évolution de la scène de l’industrie de la cybersécurité.
