Если вы используете Linux — остерегайтесь этого скрытного нового вредоносного ПО
12 мая 2023 г.Недавно эксперты обнаружили обновленную версию вредоносного ПО BPFDoor для Linux, это, по-видимому, сложнее обнаружить, и в результате ни одна антивирусная программа не помечает исполняемый файл как вредоносный.
Исследователи кибербезопасности из Deep Instinct отметили, что BPFDoor, впервые обнаруженный в 2022 году, активен как минимум с 2017 года. Инструмент получил свое название из-за (аб)использования фильтра пакетов Berkley (BPF). , который он использует для получения инструкций и обхода любых брандмауэров.
Его дизайн позволяет злоумышленникам оставаться незамеченными в скомпрометированной системе Linux в течение более длительных периодов времени. Ключевая функция BPFDoor позволяет злоумышленникам видеть весь сетевой трафик и находить уязвимости, а также отправлять удаленный код по (теперь) нефильтрованным и разблокированным каналам.
Наблюдение за сетевым трафиком
Кроме того, BPFDoor может смешивать вредоносный трафик с законным, что еще больше усложняет обнаружение и исправление.
Но учитывая, что ни один антивирус по-прежнему не помечает BPFDoor как вредоносный, единственный способ обнаружить его для системных администраторов — это «энергично» отслеживать сетевой трафик и журналы, добавляет BleepingComputer. Они должны использовать самые современные решения для защиты конечных точек и следить за целостностью файлов в «/var/run/initd.lock». так как именно здесь BPFDoor создает и блокирует среду выполнения, прежде чем разветвить себя для запуска в качестве дочернего процесса.
TheHackerNews также утверждает, что BPFDoor обычно используется Red Menshen, злоумышленником, связанным с Китаем. Группа, действующая с 2021 года, в основном нацелена на операционные системы Linux, принадлежащие поставщикам телекоммуникационных услуг на Ближнем Востоке и в Азии, а также правительственным организациям, образовательным фирмам и логистическим компаниям, говорится в сообщении Malpedia.
После получения первоначального доступа группа будет использовать различные специальные инструменты, такие как Mangzamel, Gh0st, Mimikatz и Metasplit.
Большая часть деятельности группы происходит в рабочие дни и в рабочее время (с 9 до 17, с понедельника по пятницу).
- Вот наш краткий обзор лучших брандмауэров прямо сейчас
Через: BleepingComputer
Оригинал