“Nieuwe sluipende variant van BPFDoor Linux Backdoor ontdekt”

Reading Time: ( Word Count: )

mei 12, 2023
Nextdoorsec-course

“Nieuwe sluipende variant van BPFDoor Linux Backdoor ontdekt”

Volgens een recent technisch rapport van cyberbeveiligingsbedrijf Deep Instinct is een nieuwe variant van de Linux-backdoor, BPFDoor, ontdekt. De malware staat bekend als uiterst moeilijk op te sporen en wordt in verband gebracht met een Chinese dreigingsactor genaamd Red Menshen. Deze groep zou zich sinds ten minste 2021 richten op telecomaanbieders in het Midden-Oosten en Azië.

BPFDoor is een passieve Linux backdoor die hardnekkige toegang op afstand verleent aan een gecompromitteerd systeem. Het virus bereikt dit door het analyseren en filteren van netwerkverkeer op Linux-machines voor netwerkinteracties en het verwerken van nieuwe opdrachten met Berkeley Packet Filters(BPF). Door het blokkeren van overbodig verkeer kunnen aanvallers willekeurige programma’s uitvoeren zonder dat het antivirusprogramma dit detecteert.

Linux achterdeur

De nieuwste versie van BPFDoor is nog ontwijkender dan de vorige versies, omdat er geen hard-coded indicatoren meer zijn. In plaats daarvan bevat het een inverse shell voor command-and-control (C2) interactie en een ingebouwde decryptiemodule(libtomcrypt). Bovendien negeert het virus verschillende waarschuwingen van het besturingssysteem om te voorkomen dat het wordt verwijderd.

Het BPFDoor artefact dat Deep Instinct gebruikte om zijn ontdekkingen te doen werd op 8 februari 2023 op VirusTotal geplaatst. Slechts drie beveiligingsbedrijven hebben het ELF-bestand op dit moment als schadelijk bestempeld. Gezien het vermogen van de malware om lange tijd verborgen te blijven, is het echter waarschijnlijk dat deze is gebruikt in aanvallen die onopgemerkt zijn gebleven.

Het feit dat BPFDoor lange tijd verborgen is gebleven, getuigt van zijn geraffineerdheid. Het benadrukt de toenemende behoefte aan bescherming tegen malware die gericht is op Linux-systemen, die veel voorkomen in bedrijfs- en cloudomgevingen.

In antwoord op deze dreiging heeft Google de ontwikkeling aangekondigd van een nieuw extended Berkeley Packet Filter (eBPF) fuzzing framework genaamd Buzzer. Dit kader zal helpen bij het versterken van de Linux-kernel en de legitimiteit en veiligheid garanderen van sandboxed programma’s die in beschermde contexten worden uitgevoerd.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

“Apple neutraliseert misbruikte kwetsbaarheden: Een uitgebreide update”

Apple heeft beveiligingsverbeteringen geïntroduceerd om 'zero-day'-kwetsbaarheden te neutraliseren die zijn ...

“De AI-prestaties van ChatGPT: Verder dan de Turingtest of nog niet helemaal?”

ChatGPT, een kunstmatige intelligentie chatbot van OpenAI, heeft door zijn buitengewone capaciteiten veel stof ...

“Verliest Threads zijn draad? De Twitter rivaal van Instagram nader bekeken”.

Een artikel van de Wall Street Journal van vrijdag waarschuwde dat Instagram's nieuwe concurrent voor Twitter, ...

“VirusTotal’s datalek: Menselijke fout of systeemfout?”

Vrijdag betuigde VirusTotal spijt over het onopzettelijk blootstellen van de gegevens van meer dan 5.600 klanten ...
0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *