中国系グループのRed Menshenとの関連があるハッカーたちが、世界的な通信ネットワーク内に高度にステルス性の高いBPFdoorバックドアを展開し、検出と削除が困難な長期的なスパイ活動を実行しています。
通信ネットワークはグローバルな接続の中核を担い、モバイル識別情報、通話ルーティング、データ伝送を処理します。
このレベルでの侵害は、攻撃者に通信を監視し、個人を追跡し、国家規模でインテリジェンスを収集する能力を与えます。
攻撃者は、コアシステムを直接標的にする代わりに、まずVPNアプライアンス、ファイアウォール、仮想化環境などのインターネット向けインフラストラクチャへのアクセスを獲得します。
これらのエッジシステムの既知の脆弱性は、より深いネットワーク侵入のための入口を提供します。
内部に侵入すると、攻撃者は通信環境に溶け込み、コアシグナリングシステムに向けて横移動するように設計されたLinuxベースの後期利用ツールスイートを展開します。
CrossC2はコマンド実行と横移動に使用され、主にLinuxベースのエッジデバイスとルーティングシステムを標的にします。
TinyShellは永続的なリモートアクセスを提供し、長期的な制御を維持するためにファイアウォールとVPNゲートウェイに対して一般的に展開されます。
一方、BPFdoorはトラフィック検査機能を備えたカーネルレベルのバックドアとして機能し、Linuxサーバーと通信コアインフラストラクチャを具体的に標的にするように設計されています。
このキャンペーンの中心はBPFdoorであり、Linuxカーネルレベルのバックドアであり、パケット検査とトラブルシューティングに使用される正当な機能であるバークレーパケットフィルター(BPF)を活用しています。
従来のマルウェアとは異なり、BPFdoorはリッスンポートを開くか疑わしいネットワークトラフィックを生成しません。代わりに、悪意のあるBPFフィルターを直接カーネルに埋め込みます。
このフィルターは、受信パケットを静かに監視し、事前に定義されたバイト列を含む特別に細工された「マジックパケット」を待ちます。
検出されると、マルウェアが起動し、攻撃者のためのリモートシェルを開きます。コマンド・アンド・コントロールサーバーとの継続的な通信がないため、感染したシステムはほとんどのセキュリティツールに対してクリーンに見えます。
BPFdoorの最近の亜種は拡張された機能を示し、特にストリーム制御伝送プロトコル(SCTP)トラフィックを監視する能力を示しています。
SCTPは4Gおよび5Gネットワークでのシグナリングに不可欠です。このプロトコルを標的にすることにより、攻撃者は従来のITレイヤーをバイパスし、通信シグナリングシステムへの直接アクセスを獲得します。
高度なシナリオでは、攻撃者はシグナリングイベントを観察して、標的となった個人の物理的な移動をリアルタイムで追跡できます。
永続性を維持するために、BPFdoorは高度な回避技術を採用しています。これは、エンタープライズハードウェアサービスを含む正当なシステムコンポーネントに偽装します。
Rapid7は「hpasmlited」のような名前を使用してHPE ProLiantサーバープロセスを模倣するサンプルを識別し、予想されるシステムアクティビティに溶け込んでいます。
新しい亜種はまた、クラウドネイティブな5G環境で使用されるKubernetesコンポーネントも偽装します。アクセスおよびモビリティ管理機能(AMF)などの機能を偽装することにより、マルウェアは最新の通信インフラストラクチャに統合され、アラームを発生させません。
カーネルレベルのステルス、プロトコルターゲティング、およびインフラストラクチャ模倣のこの組み合わせにより、BPFdoorは特に危険です。
これを検出するには、カーネル操作とネットワークシグナリングレイヤーへの深い可視性が必要であり、多くの組織は現在この機能が不足しています。
このキャンペーンは、重要インフラストラクチャ内での永続性と不可視性を優先する国家調整された行為者の間で増加している傾向を強調し、即座の混乱よりも長期的なインテリジェンス収集へのシフトを示唆しています。
翻訳元: https://cyberpress.org/hackers-deploy-stealthy-bpfdoor-backdoors-in-telecom-networks/