При разборе атаки на одного из своих клиентов эксперты «Доктор Веб» обнаружили нового кросс-платформенного трояна удаленного доступа и два руткита.
Первый помогал маскировать второго, используя технологии eBPF (extended Berkeley Packet Filter).
Каким образом злоумышленникам удалось получить первоначальный доступ к ИТ-инфраструктуре, установить не удалось. Целевой вредонос Trojan.Siggen28.58279 был загружен в систему в составе фреймворка для постэксплуатации.
Цепочка заражения начинается со сбора системной информации, проверки враждебности среды и загрузки настроек из интернета (из публичного репозитория GitLab, GitHub либо блога на китайском языке). После этого происходит загрузка eBPF-руткита, используемого для сокрытия работы руткита режима ядра Diamorphine, и тот уже готовит систему к установке трояна (выявлены две версии, для Linux и для Windows).
Новоявленный RAT поддерживает туннелирование трафика, позволяющее скрыть обмен с C2 и подачу команд. Расследование выявило и другие случаи такого же заражения — в основном в странах Юго-Восточной Азии. По всей видимости, речь идет о какой-то активной киберкампании.
Широкие возможности eBPF позволяют злоумышленникам скрывать сетевую активность, сторонние процессы и сбор конфиденциальной информации, а также с успехом обходить файрволы и системы обнаружения вторжений (IDS). Обнаружить подобных зловредов, по словам аналитиков, непросто, и используются они в основном в целевых APT-атаках.
За последние пару лет в интернете объявилось несколько новых семейств eBPF-зловредов, в том числе Boopkit, Symbiote и BPFDoor. Ситуацию усугубляет регулярное выявление уязвимостей в eBPF. На настоящий момент, по данным ИБ-компании, их уже 217, притом 100 были обнародованы в этом году.
Первый помогал маскировать второго, используя технологии eBPF (extended Berkeley Packet Filter).
Каким образом злоумышленникам удалось получить первоначальный доступ к ИТ-инфраструктуре, установить не удалось. Целевой вредонос Trojan.Siggen28.58279 был загружен в систему в составе фреймворка для постэксплуатации.
Цепочка заражения начинается со сбора системной информации, проверки враждебности среды и загрузки настроек из интернета (из публичного репозитория GitLab, GitHub либо блога на китайском языке). После этого происходит загрузка eBPF-руткита, используемого для сокрытия работы руткита режима ядра Diamorphine, и тот уже готовит систему к установке трояна (выявлены две версии, для Linux и для Windows).
Новоявленный RAT поддерживает туннелирование трафика, позволяющее скрыть обмен с C2 и подачу команд. Расследование выявило и другие случаи такого же заражения — в основном в странах Юго-Восточной Азии. По всей видимости, речь идет о какой-то активной киберкампании.
Широкие возможности eBPF позволяют злоумышленникам скрывать сетевую активность, сторонние процессы и сбор конфиденциальной информации, а также с успехом обходить файрволы и системы обнаружения вторжений (IDS). Обнаружить подобных зловредов, по словам аналитиков, непросто, и используются они в основном в целевых APT-атаках.
За последние пару лет в интернете объявилось несколько новых семейств eBPF-зловредов, в том числе Boopkit, Symbiote и BPFDoor. Ситуацию усугубляет регулярное выявление уязвимостей в eBPF. На настоящий момент, по данным ИБ-компании, их уже 217, притом 100 были обнародованы в этом году.
