悪意のあるツールBPFDoorは何年にもわたって検出を回避します

セキュリティ研究者は最近、心配な啓示を思いついた。中国の脅威アクターに関連する悪意のあるツールが、Linuxを実行している「数千」のシステムに配備されていることが判明しました。そのニュースの衝撃的な部分は、BPFDoorと呼ばれる問題のマルウェアがそれらのコンピューターに残り、約5年間検出をかわすことができたことです。

今年の初め、セキュリティ会社Pangu Labの研究者は、LinuxシステムでBPFを使用してBvp47と呼ばれる別のバックドアマルウェアを選び出しました。 BPFは「BerkeleyPacketFilter」の略で、元々Linuxベースのシステムに関連付けられ、ネットワーク分析に使用されていたテクノロジーです。

新たに発見されたBPFDoorマルウェアは、複数の関係者によって分析されたファイルサンプルがBPFDoorマルウェアに属するコントローラーであることが判明した後に発見されました。同じマルウェアは、Red Menshenと呼ばれるエンティティに関連付けられていました。これは、中国国外で動作すると考えられており、ハンドルRedDev18でも知られている高度な持続的脅威アクターです。

バックドアツールを使用すると、悪意のある攻撃者は、ファイアウォールルールを変更することなく、新しいネットワークポートを開いてコマンドを転送することなく、侵害されたシステムでリモートコード実行機能を利用できます。

マルウェアは、いくつかの要因により、感染したLinuxシステムで特に検出が困難です。目立たないようにし、ファイアウォールルールを変更したり、ポートで疑わしいことをしたりしないことは、これらの要因の1つです。さらに、BPFDoorはアウトバウンドコマンドアンドコントロールサーバーと通信しません。最後に、被害者のシステムが「ps aux」コマンドを使用して検査された場合、バックドアはそれ自体のプロセスの名前を変更し、わかりやすいプロセス名として表示することもできます。

BPFDoor、RedMenshenまたはRedDev 18の背後にあるエンティティは、サイバースパイに関連付けられており、以前は電気通信で動作し、アジアと中東の両方にあるエンティティをターゲットにしていました。

May 13, 2022