Киберпреступники активно используют eBPF для создания скрытых троянов и обхода систем защиты

По данным исследователей, атака включает два взаимосвязанных руткита. Первый, основанный на eBPF, маскирует работу второго, который внедряется в виде модуля ядра и подготавливает систему для установки трояна удаленного доступа. Этот троян поддерживает различные методы туннелирования, что позволяет злоумышленникам оставаться незамеченными даже в закрытых сетевых сегментах.

Использование eBPF в злонамеренных целях стало особенно популярным с 2023 года. Уже известны такие семейства вредоносных программ, как Boopkit, BPFDoor и Symbiote, активно эксплуатирующие эту технологию. Проблема усугубляется большим количеством уязвимостей в eBPF: на сегодняшний день их обнаружено 217, и эксперты прогнозируют, что в 2024 году будет найдено еще около 100.

Еще одной характерной чертой этой кампании является нестандартный способ хранения настроек трояна. Вместо использования выделенных серверов злоумышленники размещают конфигурации на общедоступных платформах, таких как GitHub и китайские блоги. Это позволяет им минимизировать подозрительный трафик, поскольку зараженные машины взаимодействуют с легитимными ресурсами, а не с управляющими серверами, которые могли бы быть заблокированы.

Кроме того, троян входит в состав пост-эксплойтного фреймворка - набора инструментов, применяемых после первоначального взлома системы. Подобные фреймворки, такие как Cobalt Strike и Metasploit, автоматизируют процесс атаки, предоставляя злоумышленникам готовые методы эксплуатации уязвимостей. Особую опасность представляет взломанная версия Cobalt Strike, которая активно распространялась в 2022 году и до сих пор используется киберпреступниками.

Важно отметить, что подобные фреймворки имеют и легальное применение - их используют специалисты по информационной безопасности для тестирования защищенности систем. Однако попадание этих инструментов в руки злоумышленников значительно упрощает проведение масштабных атак.

Эксперты предупреждают, что использование eBPF в киберпреступлениях будет только расти, поэтому компаниям необходимо усилить мониторинг сетевой активности и своевременно обновлять системы защиты. Особое внимание следует уделить анализу подозрительных процессов в ядре Linux и блокировке несанкционированного доступа к сетевым интерфейсам.

IPv4

• 103.230.15.187
• 103.230.15.214
• 13.115.248.96
• 43.201.23.238
• 54.168.223.109
• 84.32.131.53

URLs

• http://43.201.23.238:8080/jquery-1.9.1.min.js
• http://54.168.223.109:8080/http/sider.css
• https://54.168.223.109/https/sider.css
• https://dfeqdfds.pages.dev/Updata
• https://gitlab.com/-/snippets/2529934/raw/main/Updata
• https://gitlab.com/-/snippets/2565191/raw/main/Version
• https://gitlab.com/ALphaManx/kernel-motorola-msm8953/-/raw/xpe-13.0/firmware/kaweth/new_code_fix.bin.ihex
• https://google-ehs.pages.dev/GetUpdate/Version
• https://raw.githubusercontent.com/Jquery1-12/jquery/main/src/effects.js
• https://x.threatbook.com/v5/article?threatInfoID=36613

SHA256

• 10e0d26ce50ce10499efc76cc12a42a1bcffb53fff0e57791bb1c46e0a19f9c2
• 4a589ad84d06912eee67402f29389940158f5c51d280d1ea43fb0bbf1e436aa4
• 506db2f623579d2ae540637c379150f614c2e2fb40fdd479ea5dd2a9cadc9910
• 628142d63c2698a543d4c7c2824b99dd7998af9a886d213180c68b63e8cb5905
• 64877cd00de6c8a4f48bb4659db71f3f803a164573ab63b5dde8af601608ee6d
• 6f9843967705443c5433365ac02757975f473379a71bd947fc14346669a45044
• 73bab28d24bd046ffc2dbc169cd9ce2f9f320495b872972501976c6015569f98
• 8d6a22c8ef6fb045232812e5290ef975f268df9793baecef70e48075bba93a2d
• 962af35b862468779a83491e995a12d146dbc0486af27363a040ba9371deac7a
• cb6982234303fbf4504a8a1446c9635ffcb348be8806df6ce66ac866226fc46f
• fc55d59f775a723dd6e3277ca065b5396b0cc54223c13e151235076ba0564a0c