Peneliti cybersecurity telah menggali komponen pengontrol baru yang terkait dengan pintu belakang yang dikenal bernama BPFDOOR sebagai bagian dari serangan cyber yang menargetkan telekomunikasi, keuangan, dan sektor ritel di Korea Selatan, Hong Kong, Myanmar, Malaysia, dan Mesir pada tahun 2024.
“Pengontrol dapat membuka cangkang terbalik,” kata peneliti mikro tren Fernando Mercês dalam sebuah laporan teknis yang diterbitkan awal minggu ini. “Ini dapat memungkinkan pergerakan lateral, memungkinkan penyerang untuk masuk lebih dalam ke jaringan yang dikompromikan, memungkinkan mereka untuk mengontrol lebih banyak sistem atau mendapatkan akses ke data sensitif.
Kampanye ini telah dikaitkan dengan grup ancaman yang dilacaknya sebagai Earth Bluecrow, yang juga dikenal sebagai Decisivearchitect, Red Dev 18, dan Red Menshen.
BPFDOOR adalah pintu belakang Linux yang pertama kali terungkap pada tahun 2022, dengan malware diposisikan sebagai alat spionase jangka panjang untuk digunakan dalam serangan yang menargetkan entitas di Asia dan Timur Tengah setidaknya setahun sebelum pengungkapan publik.
Aspek paling khas dari malware adalah bahwa ia menciptakan saluran persisten namun-kukuh bagi para aktor ancaman untuk mengendalikan workstation yang dikompromikan dan mengakses data sensitif selama periode waktu yang lama.
Malware mendapatkan namanya dari penggunaan Berkeley Packet Filter (BPF), sebuah teknologi yang memungkinkan program untuk melampirkan filter jaringan ke soket terbuka untuk memeriksa paket jaringan yang masuk dan memantau urutan byte ajaib tertentu sehingga dapat beraksi.
“Karena bagaimana BPF diimplementasikan dalam sistem operasi yang ditargetkan, paket ajaib memicu pintu belakang meskipun diblokir oleh firewall,” kata Mercês. “Saat paket mencapai mesin BPF kernel, itu mengaktifkan pintu belakang penduduk. Meskipun fitur -fitur ini umum di rootkit, mereka biasanya tidak ditemukan di pintu belakang.”
Analisis terbaru dari Trend Micro telah menemukan bahwa server Linux yang ditargetkan juga telah terinfeksi oleh pengontrol malware yang sebelumnya tidak berdokumen yang digunakan untuk mengakses host yang terkena dampak lainnya dalam jaringan yang sama setelah gerakan lateral.
“Sebelum mengirim salah satu 'paket ajaib' yang diperiksa oleh filter BPF yang dimasukkan oleh malware BPFDOOR, pengontrol meminta penggunanya untuk kata sandi yang juga akan diperiksa di sisi BPFDOOR,” Mercês menjelaskan.
Pada langkah berikutnya, pengontrol mengarahkan mesin yang dikompromikan untuk melakukan salah satu tindakan di bawah ini berdasarkan kata sandi yang disediakan dan opsi baris perintah yang digunakan –
- Buka Shell Terbalik
- Mengarahkan koneksi baru ke shell pada port tertentu, atau
- Konfirmasi pintu belakang aktif
Perlu ditunjukkan bahwa kata sandi yang dikirim oleh pengontrol harus cocok dengan salah satu nilai kode keras dalam sampel BPFDOOR. Pengontrol, selain mendukung protokol TCP, UDP, dan ICMP untuk mengomentari host yang terinfeksi, juga dapat memungkinkan mode terenkripsi opsional untuk komunikasi yang aman.
Selain itu, pengontrol mendukung apa yang disebut mode langsung yang memungkinkan penyerang untuk secara langsung terhubung ke mesin yang terinfeksi dan mendapatkan shell untuk akses jarak jauh – tetapi hanya ketika memberikan kata sandi yang tepat.
“BPF membuka jendela baru kemungkinan yang belum dijelajahi untuk dieksploitasi oleh penulis malware,” kata Mercês. “Sebagai peneliti ancaman, itu adalah suatu keharusan untuk dilengkapi untuk perkembangan di masa depan dengan menganalisis kode BPF, yang akan membantu melindungi organisasi terhadap ancaman bertenaga BPF.”
