APTs Red Menshen expande alvos para Linux e servidores em nuvem, como visto em ataques de ransomware em VMware ESXi, variações de botnet Mirai e ladrões e mineradores de criptografia focados em nuvem.
Os grupos APT estendem o foco além Windows, representado pelos ataques do Sandworm a roteadores baseados em Linux. Ao contrário do malware do crime cibernético com alvos amplos, o malware APT prioriza a furtividade persistente e a manutenção de rotina.
Red Menshen, um grupo APT ativo no Oriente Médio e na Ásia, aprimora continuamente o backdoor BPFDoor, utilizando Berkeley Packet Filter (BPF) para escapar dos firewalls do Linux e Solaris OS.
Os pesquisadores de segurança cibernética da Trend Micro identificam as variantes do Linux e do Solaris como Backdoor.Linux.BPFDOOR e Backdoor.Solaris.BPFDOOR.ZAJE, respectivamente, com padrões adicionais de monitoramento e detecção.
Red Menshen avança filtros BPF, aumentando as instruções em seis vezes, indicando desenvolvimento ativo e implantação bem-sucedida do BPFDoor.
Fluxo de trabalho do BPFDoor
O aspecto técnico intrigante do BPFDoor reside no carregamento de filtros de pacotes em nível de kernel, comumente conhecido como BPF ou LSF no Linux, representando a mesma tecnologia subjacente.
Os filtros BPF do BPFDoor permitem a ativação de backdoor com um único pacote de rede, contornando firewalls aproveitando o mecanismo BPF do kernel, e esse recurso semelhante ao rootkit o diferencia dos backdoors típicos.
As variantes BPFDoor empregam filtros BPF clássicos, com amostras Linux usando SO_ATTACH_FILTER e amostras Solaris utilizando funções libpcap para carregamento de filtro em tempo de execução.
Quando um pacote com o número mágico chega, o BPFDoor se conecta novamente ao IP de origem, estabelecendo uma comunicação distinta baseada em identificador.
Um shell reverso privilegiado é estabelecido pelo BPFDoor, permitindo a execução remota de comandos pelo invasor por meio de uma conexão de pipe com o shell da máquina infectada.
As amostras do BPFDoor entre 2018-2022 apresentam um programa BPF uniforme que aceita números mágicos exclusivos para os seguintes protocolos: –
O programa BPF nessas amostras é composto por 30 instruções, que medem a complexidade do filtro, lêem o relatório compartilhado.
Nos sistemas afetados, existem três pacotes distintos que acionam a ativação do backdoor, e aqui abaixo os mencionamos: –
- Pacote UDP contendo o número mágico 0x7255 no campo de dados
- Pacote ICMP ECHO (ping) contendo o mesmo número mágico 0x7255 no campo de dados
- Pacote TCP contendo o número mágico 0x5293 no campo de dados
Os especialistas identificaram quatro amostras suportadas por telfhash introduzindo um 4número mágico de -byte para pacotes TCP, resultando em um novo programa BPF com 39 instruções.
Em 2023, três amostras utilizaram um programa BPF aprimorado com 229 instruções, validando especificamente Pacotes ICMP conforme solicitações do ICMP ECHO.
Alvos do Red Menshen APT
Abaixo, mencionamos os países visados pelo BPFDoor: –
Abaixo, mencionamos os setores direcionados ao uso do BPFDoor: –
- Serviços de telecomunicações
- Serviços financeiros
- Outros serviços
A incorporação de bytecode BPF em malware representa um novo obstáculo complicado para especialistas em segurança. Assim, os filtros em evolução do BPFDoor indicam os esforços dos agentes de ameaças para melhorar a furtividade e evitar a detecção.
Atualizando regras e mergulhando em Filtro BPF a análise imediata é recomendada para defensores de rede e analistas de malware.