TokyoBlackHatNews

gbhackers.com 4分で読了

ハッカーが通信ネットワークにステルス性BPFdoorバックドアを仕込み、継続的なアクセスを確保

Red Menshenとして知られている中国関連の脅威行為者が、グローバル通信ネットワークの深い部分にステルス性のバックドアを仕込んでいます。

Rapid7 Labsによる最近の調査によると、この長期的なスパイ活動キャンペーンは、BPFdoorと呼ばれるきわめて巧妙なLinuxカーネルマルウェアを使用しています。

 派手で破壊的な攻撃を仕掛ける代わりに、これらのハッカーは通信の骨格ネットワークに休止中の潜伏セルを構築しています。

通信ネットワークはグローバルなデジタルアイデンティティ、モビリティ、接続性を管理しているため、このレイヤーが侵害されると、脅威行為者は機密通信を監視し、国家規模での高価値の地政学的ターゲットを追跡できるようになります。

通信網への侵害はめったに基幹ネットワークの内部深くから始まりません。攻撃者はまずインターネット公開型のエッジインフラストラクチャを標的とし、VPN装置、ファイアウォール、仮想化ホストの脆弱性を悪用します

初期的な足がかりを確保すると、オペレーターはLinux互換の悪用後フレームワークをデプロイして、通信環境に溶け込み、基幹シグナリングシステムへの横展開を行います。

ツール 主な機能 標的環境
CrossC2 コマンド実行および横展開 Linuxエッジデバイスおよび基幹ルーティングシステム
TinyShell 受動的で長期的な継続的アクセス ファイアウォールやVPNなどの境界デバイス
BPFdoor カーネルレベルのトラフィック検査およびバックドア Linux OSカーネル、ベアメタルサーバー

これらのフレームワークとともに、脅威行為者はカスタムキーロガーおよびSSHブルートフォーサーを使用します。

これらのブルートフォースユーティリティは、「imsi」などの通信固有のユーザー名があらかじめロードされており、攻撃者が加入者識別システムと通信の運用用語について深い理解を持っていることを示しています。

BPFdoor カーネルレベルのステルス性

このスパイ活動キャンペーンの中心はBPFdoorで、Linuxオペレーティングシステム内で静かに動作するように設計されたバックドアです。

Image

従来のマルウェアは通常、コマンド&コントロールサーバーと通信するための目に見えるリスニングポートを開きます。これにより、ネットワークディフェンダーが検出するのは比較的容易になります。

BPFdoorは、通常ネットワークトラブルシューティングに使用される機能であるBerkeley Packet Filter(BPF)機能を悪用することで、この要件を完全に迂回します。

マルウェアはカーネル内に隠されたBPFフィルターをインストールして、着信トラフィックを直接検査します。特定のバイトシーケンスを含む「マジックパケット」を受動的に待機します。

BPFフィルターがこの正確なパターンを検出すると、バックドアがアクティブになり、リモートシェルを生成します。継続的なビーコニングやオープンリスニングポートがないため、感染したシステムは標準的なエンドポイント監視ツールには完全にクリーンに見えます。

BPFdoorバリアントのRapid7による最近の分析は、マルウェアの機能における危険な拡張を明らかにしています。

新しいバージョンはStream Control Transmission Protocol(SCTP)トラフィックを監視するよう特別に構成されています。SCTPは4Gと5G環境の両方の基幹ネットワークシグナリングに使用される基礎となるプロトコルです。

Image

SCTPを標的にすることで、ハッカーは従来のITデータをバイパスし、通信シグナリング平面に直接自らを埋め込みます。

このレベルのアクセスにより、人口規模の可視性が得られます。脅威行為者がSMSメッセージの内容を傍受し、加入者のアイデンティティをキャプチャし、位置情報データを操作できるようになります。

特定のシグナリングコマンドを監視することで、攻撃者は関心のある個人の物理的な動きを積極的に追跡できます。

ハードウェアおよびコンテナーの回避

長期的な生存を確保するため、BPFdoorは正当なインフラストラクチャコンポーネントを模倣します。Rapid7研究者は、HPE ProLiantサーバーのような高性能環境を特に標的とした、エンタープライズハードウェアサービスになりすましたバリアントを発見しました。

マルウェアはhpasmlitedなどのプロセス名を使用して、HPEのAgentless Management Serviceになりすまします。予想されるハードウェアテレメトリ名を採用することで、バックドアは通常の運用ノイズに完全に混ざり込みます。

さらに、新しいコードバリアントはコアコンテナー化コンポーネントをスプーフします。Access and Mobility Management Function(AMF)など、重要な5Gクラウドネイティブ機能を実行するKubernetesポッドになりすまします。

このディープスタック回避により、BPFdoorは特別なカーネルレベルの可視性なしではほぼ不可能なほど発見が難しくなります。

翻訳元: https://gbhackers.com/hackers-implant-stealthy-bpfdoor-backdoors/

ソース: gbhackers.com
#5Gセキュリティ #APT #BPFdoor #Linuxマルウェア #Red Menshen #カーネル悪用 #ステルス攻撃 #バックドア #基幹インフラ #通信ネットワーク

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚