NUEVO VARIANTE DE LINUX BACKDOOR BPFDOOR EMERGE DE LA SOMBRAS

14/05/2023

BOLETÍN NRO 2023-304

Una variante previamente no documentada y en su mayoría no detectada como backdoor de Linux llamada BPFDoor ha sido detectada en la naturaleza cibernetica. BPFDoor conserva su reputación como un malware extremadamente sigiloso y difícil de detectar con esta última iteración, dijeron los investigadores de seguridad.

Servicios Afectados

• Sistemas operativos Linux

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA Amenaza: BPFDoor                                  Categoría: Malware BPFDoor (también conocido como JustForFun), documentado por primera vez por PwC y Elastic Security Labs en mayo de 2022, es un backdoor pasivo de Linux asociada a un grupo chino llamado Red Menshen (también conocido como DecisiveArchitect o Red Dev 18), que se sabe que selecciona a los proveedores de telecomunicaciones en todo el mundo, Oriente Medio y Asia desde al menos 2021. El malware está diseñado específicamente para establecer un acceso remoto persistente a entornos de destino comprometidos durante largos períodos de tiempo, con evidencia que en el equipo de computo se ejecuto el backdoor sin ser detectado durante años. BPFDoor recibe su nombre del uso de Berkeley Packet Filters (BPF), una tecnología que permite analizar y filtrar el tráfico de red en sistemas Linux, para comunicaciones de red y procesar comandos entrantes. Al hacerlo, los ciberdelincuentes pueden penetrar en el sistema de una víctima y ejecutar código arbitrario sin ser detectados por los firewalls, al mismo tiempo que filtran datos innecesarios. Una de las características clave que hace que la nueva versión de BPFDoor sea aún más evasiva es la eliminación de muchos indicadores codificados y en su lugar incorpora una biblioteca estática para el cifrado (libtomcrypt) y un shell inverso para la comunicación de comando y control (C2). En el momento del lanzamiento, BPFDoor está configurado para ignorar varias señales del sistema operativo para evitar que se cierre. Luego asigna un búfer de memoria y crea un socket especial de detección de paquetes que monitorea el tráfico entrante con una secuencia específica de Magic Byte conectando un filtro BPF al socket sin procesar. En la etapa final, BPFDoor configura una sesión de shell inversa cifrada con el servidor C2 y espera que se ejecuten más instrucciones en la máquina comprometida. El hecho de que BPFDoor haya permanecido oculto durante mucho tiempo habla de su sofisticación, ya que los ciberdelincuentes desarrollan cada vez más malware dirigido a los sistemas Linux debido a su prevalencia en entornos empresariales y de nube. Indicadores de Compromiso Hash MD5: 0cd3b5acfab2d6081a2cb48c4c711fd3 SHA-256: afa8a32ec29a31f152ba20a30eb483520fe50f2dce6c9aa9135d88f7c9c511d7

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: New Stealthy Variant of Linux Backdoor BPFDoor Emerges from the Shadows
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​