Los expertos han descubierto recientemente una versión mejorada del malware BPFDoor para Linux (se abre en una pestaña nueva)eso es aparentemente más difícil de detectar, y como resultado, ningún programa antivirus sigue marcando el ejecutable como malicioso.
Los investigadores de seguridad cibernética de Deep Instinct señalaron que BPFDoor, que se descubrió por primera vez en 2022, ha estado activo desde al menos 2017. La herramienta obtuvo su nombre del (ab)uso del Berkley Packet Filter (BPF), que utiliza para obtener instrucciones. y eludir cualquier cortafuegos.
Su diseño permite que los actores de amenazas permanezcan sin ser detectados en un sistema Linux comprometido durante períodos de tiempo más largos, se dijo. La característica clave de BPFDoor es permitir a los actores de amenazas ver todo el tráfico de la red y encontrar vulnerabilidades, así como enviar código remoto a través de canales (ahora) sin filtrar y desbloqueados.
Un ojo en el tráfico de la red
Además, BPFDoor es capaz de combinar el tráfico malicioso con el legítimo, lo que dificulta aún más la detección y la reparación.
Pero dado que ningún antivirus aún marca BPFDoor como malicioso, la única forma que tienen los administradores de sistemas de detectarlo es monitorear «enérgicamente» el tráfico y los registros de la red, agrega BleepingComputer. Deben usar soluciones de protección de punto final de última generación y monitorear la integridad del archivo en «/var/run/initd.lock». ya que ahí es donde BPFDoor crea y bloquea un tiempo de ejecución antes de bifurcarse para ejecutarse como un proceso secundario.
TheHackerNews también afirma que Red Menshen, un actor de amenazas asociado con China, suele utilizar BPFDoor. El grupo, activo desde 2021, se ha centrado principalmente en los sistemas operativos Linux pertenecientes a proveedores de telecomunicaciones en Oriente Medio y Asia, así como a organizaciones gubernamentales, empresas educativas y empresas de logística, dice en Malpedia.
Después de obtener el acceso inicial, el grupo usaría varias herramientas personalizadas, como Mangzamel, Gh0st, Mimikatz y Metasplit.
La mayor parte de la actividad del grupo se desarrolla durante los días laborables y en horario laboral (9-5, de lunes a viernes).
Vía: BleepingComputer (se abre en una pestaña nueva)