Rilevamento del Malware BPFDoor: Strumento di Sorveglianza Evasivo Usato per Spiare Dispositivi Linux

[post-views]
Maggio 10, 2022 · 4 min di lettura
Rilevamento del Malware BPFDoor: Strumento di Sorveglianza Evasivo Usato per Spiare Dispositivi Linux

Brutte notizie per i manutentori dei sistemi basati su Linux: esperti di sicurezza hanno rivelato un impianto di sorveglianza sofisticato che è sfuggito ai radar dei fornitori di protezione degli endpoint per cinque anni, infettando segretamente migliaia di ambienti Linux. Soprannominato BPFDoor, il malware sfrutta il Berkeley Packet Filter (BPF) per agire come una backdoor e procedere con il riconoscimento. Questo rende lo strumento recentemente scoperto il secondo attacco basato su BPF documentato nel 2022, con la backdoor della NSA come primo.

Rilevare il Malware BPFDoor

La rilevazione basata su Sigma qui sotto è fornita dal nostro sviluppatore del programma Threat Bounty Kaan Yeniyol, che tiene un occhio vigile sulle minacce emergenti:

Attori Di Minacce Cinesi Usano Backdoor BPFDoor per Colpire Macchine Linux

Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.

Le regole sono allineate con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con la tecnica principale di Comando e Interprete di Scripting (T1059).

Gli esperti di cybersecurity sono incoraggiati a unirsi al programma Threat Bounty per beneficiare dell’expertise collaborativa di oltre 23.000 professionisti, aumentare la velocità di caccia alle minacce e ottenere ricompense per il loro contenuto di rilevazione delle minacce.

Visualizza le Rilevazioni Unisciti a Threat Bounty

Che Cos’è BFPDoor?

Secondo i risultati di PwC Threat Intelligence , l’impianto BFPDoor è stato attivamente sfruttato in natura da un gruppo APT affiliato alla Cina noto come Red Menshen. In particolare, il gruppo ha utilizzato la backdoor personalizzata in una serie di attacchi mirati contro organizzazioni di telecomunicazione, enti governativi, istituzioni educative e società di logistica in tutto il Medio Oriente e l’Asia.

Gli avversari sfruttano una tecnologia legittima, Il Berkeley Packet Filter (BPF), destinata a essere usata per la trasmissione dei pacchetti di dati e la regolazione dell’accesso così come l’analisi del traffico di rete. Oggi, gli attacchi basati su BPF sono in aumento, con un numero crescente di attori minacciosi interessati a utilizzare lo strumento per i propri scopi offensivi.

BFPDoor è un impianto maligno basato su Linux utilizzato principalmente per scopi di sorveglianza. Il meccanismo di attacco presume l’abuso di versioni estese della tecnologia BPF. Gli avversari possono penetrare nel sistema di una vittima ed eseguire codice remoto senza dover aprire alcuna porta di rete in entrata o nuove regole del firewall una volta che l’impianto maligno è stato installato. Gli hacker sfruttano router compromessi situati a Taiwan come tunnel VPN per eseguire BPFDoor tramite server privati virtuali (VPS).

Le vittime di BPFDoor hanno poche o nessuna possibilità di rilevare un impianto maligno BPFDoor furtivo una volta che è residente. Secondo i dati attuali, migliaia di sistemi sono già stati compromessi da questo ceppo di malware, eppure gli utenti colpiti restano inconsapevoli della violazione e della persistenza dell’impianto nel sistema.

Non rimandare il potenziamento della tua difesa – usufruisci dei benefici della piattaforma Detection as Code di SOC Prime per assicurarti che il tuo team SOC implementi il contenuto di rilevazione più recente il più rapidamente possibile. Per rimanere informato sulle minacce esistenti e imminenti, segui gli aggiornamenti di un blog di SOC Prime, che tiene i professionisti SOC al passo con il dinamico panorama dell’industria della cybersecurity.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati