BPFドアコントローラー

サイバーセキュリティ研究者らは、悪名高いバックドア「BPFDoor」に関連する新たなコントローラコンポーネントを特定しました。この最新の発見は、2024年に韓国、香港、ミャンマー、マレーシア、エジプトの通信、金融、小売業界を標的としたサイバー攻撃が続く中でのものです。

さらに深く掘り下げる：リバースシェルと横方向の移動機能

新たに発見されたコントローラは、攻撃者にとって強力なツールとなるリバースシェルを開くことができます。この機能により、サイバー犯罪者は侵入したネットワークをより深く掘り下げ、より多くのシステムを制御下に置き、機密データにアクセスする可能性が高まります。

帰属パズル: カーテンの後ろには誰がいる?

これらの攻撃は、Earth Bluecrowと呼ばれる脅威グループ（DecisiveArchitect、Red Dev 18、Red Menshenなどの別名でも知られています）によるものと暫定的に関連付けられています。ただし、この帰属の確度は中程度です。その理由は、BPFDoorのソースコードが2022年に漏洩したため、他の脅威アクターも現在これを利用している可能性があるからです。

BPFDoor: 持続的かつ秘密裏に活動するスパイツール

BPFDoorは2022年に初めて公開されたLinuxバックドアですが、少なくとも1年前からアジアと中東の組織を標的として利用されていました。BPFDoorの特徴は、侵害されたマシンへの長期的かつ秘密裏なアクセスを維持する能力であり、スパイ活動に最適です。

仕組み：バークレーパケットフィルタの魔法

このマルウェアの名前は、Berkeley Packet Filter（BPF）を使用していることに由来しています。BPFは、ソフトウェアがネットワークから着信するパケットを検査し、特定の「マジックバイト」シーケンスを検出することを可能にします。この固有のパターンが検出されると、ファイアウォールが設置されていてもバックドアが起動します。これは、BPFがカーネルレベルで動作し、従来のファイアウォール保護を回避するためです。この手法はルートキットでは一般的ですが、バックドアではあまり見られません。

新たなプレイヤー：文書化されていないマルウェアコントローラー

最近の分析により、侵害されたLinuxサーバーが、これまで文書化されていなかったマルウェアコントローラーにも感染していたことが明らかになりました。このコントローラーはネットワークに侵入すると、横方向の移動を容易にし、攻撃者の攻撃範囲を他のシステムにも拡大します。

コントローラは「マジックパケット」を送信する前に、オペレータにパスワードの入力を促します。このパスワードは、BPFDoorマルウェア内にハードコードされた値と一致している必要があります。認証されると、以下のコマンドのいずれかを実行できます。

• リバースシェルを開く

拡張機能: プロトコルサポートと暗号化

このコントローラーは多用途で、TCP、UDP、ICMPプロトコルをサポートしています。また、安全な通信のためにオプションの暗号化モードも備えています。高度なダイレクトモードでは、攻撃者は感染したマシンに即座に接続できますが、これも正しいパスワードが必要です。

今後の展望：拡大するBPFの脅威

BPFは、サイバー攻撃者にとって新たな、そしてほとんど未開拓の領域を切り開きます。従来の防御をすり抜ける能力は、高度なマルウェア作成者にとって魅力的なツールとなっています。サイバーセキュリティ専門家にとって、BPFベースの脅威を理解し分析することは、将来の攻撃に先手を打つために不可欠です。