Dados apontam que o malware BPFDoor usou vulnerabilidade antiga da Solaris para conseguir privilégios de root. Novas pesquisas sobre o funcionamento interno do malware para Linux e Solaris revelam que o agente da ameaça por trás dele aproveitou uma vulnerabilidade antiga para obter persistência em sistemas direcionados.
O Malware BPFDoor
O BPFDoor é um backdoor personalizado que tem sido usado amplamente sem ser detectado por pelo menos cinco anos em ataques contra organizações de telecomunicações, governo, educação e logística. Ele foi descoberto recentemente e relatado primeiro por pesquisadores da PricewaterhouseCoopers (PwC), que o atribuíram a um agente de ameaças baseado na China que eles rastreiam como Red Menshen, lembra o BleepingComputer.
A PwC encontrou o BPFDoor durante um engajamento de resposta a incidentes em 2021. Após observações, os pesquisadores notaram que ele recebeu comandos de servidores privados virtuais (VPS) controlados por meio de roteadores comprometidos em Taiwan.
Pesquisas subsequentes e abrangentes de Craig Rowland, fundador da Sandfly Security, e Kevin Beaumont mostraram a natureza altamente insidiosa do malware, que pode praticamente ignorar a maioria dos sistemas de detecção.
O BPFDoor não pode ser parado por firewalls, pode funcionar sem abrir nenhuma porta e não precisa de um servidor de comando e controle, pois pode receber comandos de qualquer endereço IP na web, apontam os pesquisadores.
Sistemas Linux e Solaris
A empresa de segurança cibernética CrowdStrike observou um agente de ameaças que se concentrou principalmente em visar sistemas Linux e Solaris usando o implante BPFDoor personalizado em provedores de telecomunicações para roubar informações pessoais do usuário.
CrowdStrike está rastreando o backdoor sob o nome JustForFun e o atribui a um adversário que eles chamam de DecisiveArchitect. Os pesquisadores analisaram a atividade desse adversário várias vezes desde 2019.
Em um relatório (Via: BleepingComputer), os pesquisadores fornecem detalhes sobre como os defensores podem detectar o implante BPFDoor e destacar as técnicas usadas nos sistemas Solaris. Segundo suas observações, uma vez que o DecisiveArchitect obtém acesso a um sistema Solaris, ele obtém permissões de nível raiz explorando uma vulnerabilidade no componente XScreenSaver do sistema operacional Solaris (versão 11.x).
O agente da ameaça começa a aproveitar o bug normalmente “dentro de alguns minutos da implantação do implante JustForFun”, de acordo com as observações dos pesquisadores, que também observaram que em sistemas Solaris, o agente da ameaça usa a variável ambiental LD_PRELOAD para obter uma funcionalidade semelhante à falsificação de linha de comando vista em hosts Linux.
No entanto, a partir de abril de 2022, a DecisiveArchitect atualizou suas táticas, técnicas e procedimentos e começou a usar a variável de ambiente LD_PRELOAD em máquinas Linux também para carregar o implante BPFDoor/JustForFun no processo legítimo /sbin/agetty.
O relatório da CrowdStrike hoje inclui uma lista de indicadores de comprometimento para os sistemas Linux e Solaris, bem como dois scripts do Windows cuja finalidade permanece desconhecida no momento. Os pesquisadores dizem que o agente da ameaça por trás do BFPDoor interage com as máquinas Windows durante os estágios iniciais da invasão, mas não identificaram nenhum implante personalizado para esse sistema operacional.
Via: BleepingComputer