GTPDOOR マルウェア

セキュリティ アナリストは、GTPDOOR という名前の Linux マルウェアを特定しました。これは、GPRS ローミング エクスチェンジ (GRX) に近い通信ネットワーク内に導入されるように明示的に設計されています。コマンド アンド コントロール (C2) 通信に GPRS トンネリング プロトコル (GTP) を革新的に利用していることが、このマルウェアの特徴です。 GPRS ローミングにより、加入者はホーム モバイル ネットワークの範囲外にいるときでも GPRS サービスにアクセスできるようになります。これは GRX を通じて可能になり、訪問先とホームの Public Land Mobile Network (PLMN) の間で GTP を使用したローミング トラフィックの転送が容易になります。

専門家は、GTPDOOR バックドアが認識された脅威アクターである LightBasin (UNC1945 としても知られる) に潜在的に接続されているのではないかと疑っています。この特定のサイバー犯罪グループは、加入者情報と通話メタデータを盗むことを目的として、電気通信分野を狙った一連の攻撃に関与しています。

GTPDOOR マルウェアはサイバー犯罪者に違法アクセスを提供します

GTPDOOR は実行時にプロセス名を「[syslog]」に変更し、カーネルから呼び出された syslog を装って操作を開始します。子信号を抑制する措置を講じ、生のソケットを開いて、インプラントがネットワーク インターフェイスに向けられた UDP メッセージを傍受できるようにします。

本質的に、GTPDOOR は、ローミング交換ネットワーク上で確立された永続性を持つ脅威アクターが侵害されたホストと通信する手段を提供します。この通信は、有害なペイロードを含む GTP-C エコー要求メッセージを送信することによって実現されます。 GTP-C エコー要求メッセージは、感染したマシン上で実行されるコマンドを送信し、結果をリモート ホストに中継するパイプとして機能します。

GTPDOOR は外部ネットワークから慎重にプローブでき、任意のポート番号に TCP パケットを送信することで応答をトリガーできます。インプラントがアクティブな場合、宛先ポートがホスト上で開いているか応答したかどうかに関する情報とともに、細工された空の TCP パケットを返します。

このインプラントは、GRX ネットワークに直接接続されている侵害されたホスト上に常駐するように調整されているようです。これらのシステムは、GRX を介して他の電気通信事業者ネットワークと通信するシステムです。

GTPDOOR マルウェアは、アクティブ化されるといくつかの脅威的なアクションを実行します。

GTPDOOR は、GTP-C エコー要求メッセージ (GTP タイプ 0x01) として識別される特定のウェイクアップ パケットをリッスンするなど、さまざまな悪意のあるアクティビティに関与します。注目すべきことに、すべての UDP パケットは生のソケットのオープンを通じてユーザー空間に受信されるため、ホストはアクティブなリスニング ソケットやサービスを必要としません。さらに、GTPDOOR は、マジック パケットで指定されたホスト上でコマンドを実行し、出力をリモート ホストに返し、「リバース シェル」タイプの機能をサポートするように設計されています。リクエストとレスポンスは両方とも、それぞれ GTP_ECHO_REQUEST メッセージと GTP_ECHO_RESPONSE メッセージとして送信されます。

インプラントは外部ネットワークから慎重にプローブされ、任意のポート番号に TCP パケットを送信して応答を促すことができます。インプラントがアクティブな場合、細工された空の TCP パケットを返し、ホスト上で宛先ポートが開いているか応答したかに関する情報を提供します。

セキュリティ対策のため、GTPDOOR は単純な XOR 暗号を使用してマジック GTP パケット メッセージの内容を認証し、暗号化します。実行時に、キーの再生成を通じて認証キーと暗号化キーを変更するように指示でき、バイナリにハードコードされたデフォルトのキーが他の脅威アクターによって利用されるのを防ぎます。環境に溶け込むために、GTPDOOR はカーネル スレッドとして呼び出される syslog プロセスに似たプロセス名を変更します。重要なのは、ターゲット ホストが GTP-C ポート経由の通信を許可されている場合、イングレス ファイアウォールの変更を必要とせずに動作することです。