BPFDoor Backdoor IOCs

security

Недавно компания PwC Threat Intelligence задокументировала существование BPFDoor, пассивного сетевого имплантата для Linux, который они приписывают Red Menshen, китайской APT-группе.

BPFDoor Backdoor

BPFDoor очень интересен. Он позволяет сделать бэкдор в системе для удаленного выполнения кода, не открывая никаких новых сетевых портов или правил брандмауэра. Например, если веб-приложение существует на порту 443, оно может прослушивать и реагировать на существующий порт 443, и имплантат может быть достигнут через порт веб-приложения (даже при запущенном веб-приложении). Это происходит потому, что используется пакетный фильтр BPF.

Операторы имеют доступ к инструменту, который обеспечивает связь с имплантатами, используя пароль, что позволяет выполнять такие функции, как удаленное выполнение команд. Это работает через внутренние и интернет-сети.

Поскольку BPFDoor не открывает никаких входящих сетевых портов, не использует исходящий C2 и переименовывает свой собственный процесс в Linux (так что ps aux, например, покажет дружественное имя), он очень неуловим.

BPFDoor установлен в организациях по всему миру - в частности, в США, Южной Корее, Гонконге, Турции, Индии, Вьетнаме и Мьянме - и отличается высокой степенью уклончивости. Эти организации включают правительственные системы, почтовые и логистические системы, системы образования и многое другое.

Indicators of Compromise

MD5

SHA1

SHA256

  • 07ecb1f2d9ffbd20a46cd36cd06b022db3cc8e45b1ecab62cd11f9ca7a26ab6d
  • 144526d30ae747982079d5d340d1ff116a7963aba2e3ed589e7ebc297ba0c1b3
  • 1925e3cd8a1b0bba0d297830636cdb9ebf002698c8fa71e0063581204f4e8345
  • 4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d
  • 591198c234416c6ccbcea6967963ca2ca0f17050be7eed1602198308d9127c78
  • 599ae527f10ddb4625687748b7d3734ee51673b664f2e5d0346e64f85e185683
  • 5b2a079690efb5f4e0944353dd883303ffd6bab4aad1f0c88b49a76ddcb28ee9
  • 5faab159397964e630c4156f8852bcc6ee46df1cdd8be2a8d3f3d8e5980f3bb3
  • 76bf736b25d5c9aaf6a84edd4e615796fffc338a893b49c120c0b4941ce37925
  • 93f4262fce8c6b4f8e239c35a0679fbbbb722141b95a5f2af53a2bcafe4edd1c
  • 96e906128095dead57fdc9ce8688bb889166b67c9a1b8fdb93d7cff7f3836bb9
  • 97a546c7d08ad34dfab74c9c8a96986c54768c592a8dae521ddcf612a84fb8cc
  • c796fc66b655f6107eacbe78a37f0e8a2926f01fecebd9e68a66f0e261f91276
  • c80bd1c4a796b4d3944a097e96f384c85687daeedcdcf05cc885c8c9b279b09c
  • dc8346bf443b7b453f062740d8ae8d8d7ce879672810f4296158f90359dcae3a
  • f47de978da1dbfc5e0f195745e3368d3ceef034e964817c66ba01396a1953d72
  • f8a5e735d6e79eb587954a371515a82a15883cf2eda9d7ddb8938b86e714ea27
  • fa0defdabd9fd43fe2ef1ec33574ea1af1290bd3d763fdb2bed443f2bd996d73
  • fd1b20ee5bd429046d3c04e9c675c41e9095bea70e0329bd32d7edd17ebaf68a
Комментарии: 0