BPFdoor - это специфический для Linux низкопрофильный пассивный бэкдор, предназначенный для поддержания стойкой, долгосрочной позиции в уже взломанных сетях и средах и функционирующий в основном для обеспечения возможности повторного проникновения злоумышленника в зараженную систему в течение длительного периода времени после компрометации.
BPFDoor Malware
Вредоносная программа получила свое название благодаря использованию пакетного фильтра Berkley - довольно уникального способа получения инструкций и уклонения от обнаружения, который обходит ограничения брандмауэра на входящий трафик.
Вредоносная программа связана с китайским агентом угроз Red Menshen (он же Red Dev 18), который был замечен в атаках на телекоммуникационных провайдеров на Ближнем Востоке и в Азии, а также на организации в правительственном, образовательном и логистическом секторах с 2021 года.
Когда BPFdoor был впервые обнаружен, примерно год назад, его отметили за эффективный и элегантный дизайн, а также за то, что он уделяет большое внимание скрытности - важному элементу для поддержания незамеченности в долгосрочной перспективе.
Недавно лаборатория угроз Deep Instinct обнаружила и проанализировала ранее не документированный и полностью необнаруженный новый вариант BPFdoor.
Одно из наиболее существенных отличий от предыдущего варианта заключается в удалении многих жестко закодированных индикаторов, что делает новую версию более сложной для обнаружения. Впервые появившись на VirusTotal в феврале 2023 года, новый вариант оставался необнаруженным и остается необнаруженным до сих пор.
Indicators of Compromise
SHA256
- afa8a32ec29a31f152ba20a30eb483520fe50f2dce6c9aa9135d88f7c9c511d7
Mutex
- /var/run/initd.lock