🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma campanha contínua e de longo prazo atribuída a um actor ameaçador do nexo da China incorporou-se em redes de telecomunicações para realizar espionagem contra redes governamentais.
A atividade de posicionamento estratégico, que envolve a implantação e manutenção de mecanismos de acesso furtivos em ambientes críticos, foi atribuída a Red Menshen, um cluster de ameaças que também é rastreado como Earth Bluecrow, DecisiveArchitect e Red Dev 18. O grupo tem um histórico de ataques a provedores de telecomunicações em todo o Oriente Médio e Ásia desde pelo menos 2021.
Rapid7 descreveu os mecanismos de acesso secreto como “algumas das células dormentes digitais mais furtivas” já encontradas em redes de telecomunicações.
A campanha é caracterizada pelo uso de implantes em nível de kernel, backdoors passivos, utilitários de coleta de credenciais e estruturas de comando multiplataforma, dando ao ator da ameaça a capacidade de habitar persistentemente redes de interesse. Uma das ferramentas mais reconhecidas em seu arsenal de malware é um backdoor do Linux chamado BPFDoor.
“Ao contrário do malware convencional, o BPFdoor não expõe portas de escuta nem mantém canais de comando e controle visíveis”, disse o Rapid7 Labs em um relatório compartilhado com o The Hacker News. “Em vez disso, ele abusa da funcionalidade Berkeley Packet Filter (BPF) para inspecionar o tráfego de rede diretamente dentro do kernel, ativando apenas quando recebe um pacote de gatilho especificamente criado.”
"Não há ouvinte persistente ou sinalização óbvia. O resultado é um alçapão oculto embutido no próprio sistema operacional."
As cadeias de ataque começam com o ator da ameaça visando infraestrutura voltada para a Internet e serviços de borda expostos, como dispositivos VPN, firewalls e plataformas voltadas para a Web associadas à Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks e Apache Struts, para obter acesso inicial.
Após obter uma posição bem-sucedida, estruturas de beacon compatíveis com Linux, como CrossC2, são implantadas para facilitar atividades pós-exploração. Também foram descartados Sliver, TinyShell (um backdoor Unix), keyloggers e utilitários de força bruta para facilitar a coleta de credenciais e movimentação lateral.
No entanto, o centro das operações da Red Menshen é o BPFDoor. Ele apresenta dois componentes distintos: um é um backdoor passivo implantado no sistema Linux comprometido para inspecionar o tráfego de entrada em busca de um pacote "mágico" predefinido, instalando um filtro BPF e gerando um shell remoto ao receber tal pacote. A outra parte integrante da estrutura é um controlador administrado pelo invasor e responsável por enviar pacotes especialmente formatados.
“O controlador também foi projetado para operar dentro do próprio ambiente da vítima”, explicou Rapid7. “Neste modo, ele pode se disfarçar como processos legítimos do sistema e acionar implantes adicionais em hosts internos, enviando pacotes de ativação ou abrindo um ouvinte local para receber conexões shell, permitindo efetivamente o movimento lateral controlado entre sistemas comprometidos”.
Além do mais, descobriu-se que certos artefatos BPFDoor suportam o Stream Control Transmission Protocol (SCTP), permitindo potencialmente ao adversário monitorar protocolos nativos de telecomunicações e obter visibilidade do comportamento e localização do assinante, e até mesmo rastrear indivíduos de interesse.
Esses aspectos demonstram que a funcionalidade do BPFdoor vai além de um backdoor furtivo do Linux. “O BPFdoor funciona como uma camada de acesso incorporada ao backbone de telecomunicações, fornecendo visibilidade de longo prazo e baixo ruído em operações críticas de rede”, acrescentou o fornecedor de segurança.
Não termina aí. Uma variante anteriormente não documentada do BPFdoor incorpora mudanças arquitetônicas para torná-lo mais evasivo e permanecer indetectado por períodos prolongados em ambientes empresariais e de telecomunicações modernos. Isso inclui ocultar o pacote acionador no tráfego HTTPS aparentemente legítimo e introduzir um novo mecanismo de análise que garante que a string “9999” apareça em um deslocamento fixo de bytes na solicitação.
Essa camuflagem, por sua vez, permite que o pacote mágico fique oculto dentro do tráfego HTTPS e evite causar mudanças na posição dos dados dentro da solicitação, além de permitir que o implante sempre verifique o marcador em um deslocamento de byte específico e, se estiver presente, interprete-o como o comando de ativação.
A amostra recém-descoberta também estreia um “mecanismo de comunicação leve” que usa o Internet Control Message Protocol (ICMP) para interagir entre dois hosts infectados.
“Essas descobertas refletem uma evolução mais ampla no comércio adversário”, disse Rapid7. “Os invasores estão incorporando implantes mais profundamente na pilha de computação – visando kernels de sistemas operacionais e plataformas de infraestrutura, em vez de depender apenas de malware no espaço do usuário”.
"Ambientes de telecomunicações — combinando sistemas bare-metal, camadas de virtualização, alto desempenho
A atividade de posicionamento estratégico, que envolve a implantação e manutenção de mecanismos de acesso furtivos em ambientes críticos, foi atribuída a Red Menshen, um cluster de ameaças que também é rastreado como Earth Bluecrow, DecisiveArchitect e Red Dev 18. O grupo tem um histórico de ataques a provedores de telecomunicações em todo o Oriente Médio e Ásia desde pelo menos 2021.
Rapid7 descreveu os mecanismos de acesso secreto como “algumas das células dormentes digitais mais furtivas” já encontradas em redes de telecomunicações.
A campanha é caracterizada pelo uso de implantes em nível de kernel, backdoors passivos, utilitários de coleta de credenciais e estruturas de comando multiplataforma, dando ao ator da ameaça a capacidade de habitar persistentemente redes de interesse. Uma das ferramentas mais reconhecidas em seu arsenal de malware é um backdoor do Linux chamado BPFDoor.
“Ao contrário do malware convencional, o BPFdoor não expõe portas de escuta nem mantém canais de comando e controle visíveis”, disse o Rapid7 Labs em um relatório compartilhado com o The Hacker News. “Em vez disso, ele abusa da funcionalidade Berkeley Packet Filter (BPF) para inspecionar o tráfego de rede diretamente dentro do kernel, ativando apenas quando recebe um pacote de gatilho especificamente criado.”
"Não há ouvinte persistente ou sinalização óbvia. O resultado é um alçapão oculto embutido no próprio sistema operacional."
As cadeias de ataque começam com o ator da ameaça visando infraestrutura voltada para a Internet e serviços de borda expostos, como dispositivos VPN, firewalls e plataformas voltadas para a Web associadas à Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks e Apache Struts, para obter acesso inicial.
Após obter uma posição bem-sucedida, estruturas de beacon compatíveis com Linux, como CrossC2, são implantadas para facilitar atividades pós-exploração. Também foram descartados Sliver, TinyShell (um backdoor Unix), keyloggers e utilitários de força bruta para facilitar a coleta de credenciais e movimentação lateral.
No entanto, o centro das operações da Red Menshen é o BPFDoor. Ele apresenta dois componentes distintos: um é um backdoor passivo implantado no sistema Linux comprometido para inspecionar o tráfego de entrada em busca de um pacote "mágico" predefinido, instalando um filtro BPF e gerando um shell remoto ao receber tal pacote. A outra parte integrante da estrutura é um controlador administrado pelo invasor e responsável por enviar pacotes especialmente formatados.
“O controlador também foi projetado para operar dentro do próprio ambiente da vítima”, explicou Rapid7. “Neste modo, ele pode se disfarçar como processos legítimos do sistema e acionar implantes adicionais em hosts internos, enviando pacotes de ativação ou abrindo um ouvinte local para receber conexões shell, permitindo efetivamente o movimento lateral controlado entre sistemas comprometidos”.
Além do mais, descobriu-se que certos artefatos BPFDoor suportam o Stream Control Transmission Protocol (SCTP), permitindo potencialmente ao adversário monitorar protocolos nativos de telecomunicações e obter visibilidade do comportamento e localização do assinante, e até mesmo rastrear indivíduos de interesse.
Esses aspectos demonstram que a funcionalidade do BPFdoor vai além de um backdoor furtivo do Linux. “O BPFdoor funciona como uma camada de acesso incorporada ao backbone de telecomunicações, fornecendo visibilidade de longo prazo e baixo ruído em operações críticas de rede”, acrescentou o fornecedor de segurança.
Não termina aí. Uma variante anteriormente não documentada do BPFdoor incorpora mudanças arquitetônicas para torná-lo mais evasivo e permanecer indetectado por períodos prolongados em ambientes empresariais e de telecomunicações modernos. Isso inclui ocultar o pacote acionador no tráfego HTTPS aparentemente legítimo e introduzir um novo mecanismo de análise que garante que a string “9999” apareça em um deslocamento fixo de bytes na solicitação.
Essa camuflagem, por sua vez, permite que o pacote mágico fique oculto dentro do tráfego HTTPS e evite causar mudanças na posição dos dados dentro da solicitação, além de permitir que o implante sempre verifique o marcador em um deslocamento de byte específico e, se estiver presente, interprete-o como o comando de ativação.
A amostra recém-descoberta também estreia um “mecanismo de comunicação leve” que usa o Internet Control Message Protocol (ICMP) para interagir entre dois hosts infectados.
“Essas descobertas refletem uma evolução mais ampla no comércio adversário”, disse Rapid7. “Os invasores estão incorporando implantes mais profundamente na pilha de computação – visando kernels de sistemas operacionais e plataformas de infraestrutura, em vez de depender apenas de malware no espaço do usuário”.
"Ambientes de telecomunicações — combinando sistemas bare-metal, camadas de virtualização, alto desempenho
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #red #menshen, #ligado #à #china, #usa #implantes #bpfdoor #furtivos #para #espionar #através #de #redes #de #telecomunicações
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário