Компания «Доктор Веб» обнаружила хакерскую кампанию, направленную на компьютерную инфраструктуру в регионе Юго-Восточной Азии. Хакеры используют технологию eBPF (extended Berkeley Packet Filter), которая изначально была разработана для усиления контроля над сетевыми подсистемами и процессами Linux. К сожалению, неясно, как был получен первоначальный доступ к взломанным машинам, но злоумышленникам удалось использовать возможности eBPF для сокрытия своей сетевой активности, сбора конфиденциальной информации и обхода сетевых экранов и систем обнаружения вторжений.
Описание
В кампании используются два руткита, причем руткит eBPF скрывает работу другого руткита, запущенного в виде модуля ядра. Последний руткит подготавливает систему к установке трояна удаленного доступа. Этот троян поддерживает различные технологии туннелирования, что позволяет злоумышленникам связываться с ним из частных сегментов сети и маскировать передачу команд.
Использование вредоносного ПО eBPF растет с 2023 года, что привело к появлению таких семейств вредоносных программ, как Boopkit, BPFDoor и Symbiote. Кроме того, в настоящее время известно 217 уязвимостей eBPF, и около 100 из них будут обнаружены в 2024 году.
Кроме того, эта кампания демонстрирует уникальный подход к хранению настроек трояна. Если раньше для этих целей обычно использовались выделенные серверы, то теперь злоумышленники хранят конфигурации вредоносных программ на общедоступных платформах. Например, в ходе кампании был замечен доступ к платформам Github и китайскому блогу. Такая стратегия снижает риск обнаружения трафика, поскольку скомпрометированная машина взаимодействует с защищенным сетевым узлом, и избавляет от необходимости поддерживать доступ к управляющему серверу.
Кроме того, троян входит в состав фреймворка пост-эксплойта, который представляет собой набор программ, используемых на последующих этапах атаки после получения доступа к компьютеру. Такие фреймворки, например Cobalt Strike и Metasploit, автоматизируют различные проверки и обладают встроенной базой уязвимостей. Взломанная версия Cobalt Strike, получившая широкое распространение в 2022 году, еще больше увеличила хакерскую активность.
Разработчики этих фреймворков активно следят за их установками, а серверы, на которых размещена взломанная версия Cobalt Strike, преимущественно находятся в Китае. Следует отметить, что такие фреймворки имеют законное применение в сервисах аудита безопасности.
Indicators of Compromise
IPv4
- 103.230.15.187
- 103.230.15.214
- 13.115.248.96
- 43.201.23.238
- 54.168.223.109
- 84.32.131.53
URLs
- http://43.201.23.238:8080/jquery-1.9.1.min.js
- http://54.168.223.109:8080/http/sider.css
- https://54.168.223.109/https/sider.css
- https://dfeqdfds.pages.dev/Updata
- https://gitlab.com/-/snippets/2529934/raw/main/Updata
- https://gitlab.com/-/snippets/2565191/raw/main/Version
- https://gitlab.com/ALphaManx/kernel-motorola-msm8953/-/raw/xpe-13.0/firmware/kaweth/new_code_fix.bin.ihex
- https://google-ehs.pages.dev/GetUpdate/Version
- https://raw.githubusercontent.com/Jquery1-12/jquery/main/src/effects.js
- https://x.threatbook.com/v5/article?threatInfoID=36613
SHA256
- 10e0d26ce50ce10499efc76cc12a42a1bcffb53fff0e57791bb1c46e0a19f9c2
- 4a589ad84d06912eee67402f29389940158f5c51d280d1ea43fb0bbf1e436aa4
- 506db2f623579d2ae540637c379150f614c2e2fb40fdd479ea5dd2a9cadc9910
- 628142d63c2698a543d4c7c2824b99dd7998af9a886d213180c68b63e8cb5905
- 64877cd00de6c8a4f48bb4659db71f3f803a164573ab63b5dde8af601608ee6d
- 6f9843967705443c5433365ac02757975f473379a71bd947fc14346669a45044
- 73bab28d24bd046ffc2dbc169cd9ce2f9f320495b872972501976c6015569f98
- 8d6a22c8ef6fb045232812e5290ef975f268df9793baecef70e48075bba93a2d
- 962af35b862468779a83491e995a12d146dbc0486af27363a040ba9371deac7a
- cb6982234303fbf4504a8a1446c9635ffcb348be8806df6ce66ac866226fc46f
- fc55d59f775a723dd6e3277ca065b5396b0cc54223c13e151235076ba0564a0c