Des experts ont récemment découvert une version améliorée du malware BPFDoor pour Linux (s’ouvre dans un nouvel onglet)c’est apparemment plus difficile à repérer – et par conséquent, aucun programme antivirus ne signale toujours l’exécutable comme malveillant.
Les chercheurs en cybersécurité de Deep Instinct ont noté que BPFDoor, qui a été découvert pour la première fois en 2022, est actif depuis au moins 2017. L’outil tire son nom de l'(ab)utilisation du filtre de paquets Berkley (BPF), qu’il utilise pour obtenir des instructions. et contourner tous les pare-feu.
Sa conception permet aux acteurs de la menace de rester non détectés sur un système Linux compromis pendant de plus longues périodes, a-t-on déclaré. La fonctionnalité clé de BPFDoor permet aux acteurs de la menace de voir tout le trafic réseau et de trouver des vulnérabilités, ainsi que d’envoyer du code à distance via des canaux (maintenant) non filtrés et non bloqués.
Un œil sur le trafic réseau
De plus, BPFDoor est capable de mélanger le trafic malveillant avec le trafic légitime, ce qui rend la détection et la correction encore plus difficiles.
Mais étant donné qu’aucun antivirus ne signale toujours BPFDoor comme malveillant, le seul moyen pour les administrateurs système de le détecter est de surveiller « vigoureusement » le trafic réseau et les journaux, ajoute BleepingComputer. Ils doivent utiliser des solutions de protection des terminaux à la pointe de la technologie et surveiller l’intégrité des fichiers sur « /var/run/initd.lock ». car c’est là que BPFDoor crée et verrouille un runtime avant de se forger pour s’exécuter en tant que processus enfant.
TheHackerNews affirme également que BPFDoor est généralement utilisé par Red Menshen, un acteur menaçant associé à la Chine. Le groupe, actif depuis 2021, cible principalement les systèmes d’exploitation Linux appartenant aux fournisseurs de télécommunications du Moyen-Orient et d’Asie, ainsi qu’aux organisations gouvernementales, aux entreprises d’éducation et aux entreprises de logistique, indique-t-il sur Malpedia.
Après avoir obtenu l’accès initial, le groupe utiliserait divers outils personnalisés, tels que Mangzamel, Gh0st, Mimikatz et Metasplit.
L’essentiel de l’activité du groupe se déroule pendant les jours ouvrés et pendant les heures de travail (9h-17h, du lundi au vendredi).
Via : BleepingComputer (s’ouvre dans un nouvel onglet)