KISA confirma 8 variantes de malware durante a verificação do ataque hacker à SKT

xguru · 2025-05-04T09:16:01+09:00

Durante a resposta ao incidente de invasão da SKT, foram descobertas 8 variantes adicionais de malware, além dos 4 malwares já conhecidos da família BPFDoor voltados a sistemas Linux Como se trata de um backdoor para invasão persistente que não deixa rastros, pode haver possibilidade de vazamento de mais informações Além do smartadm informado inicialmente, foram adicionados dbus-srv, inode262394, rad e outros, com funções como disfarce de processo do sistema, rootkit e instalação de backdoor Informações relacionadas ao malware (por se tratar de variantes, não foi possível confirmar pelos hashes; informações de funções estimadas identificadas pelos nomes) ○ dbus-srv É executado se passando pelo processo do sistema dbus-daemon Possui funções de coleta de informações do sistema e execução remota de comandos Evita detecção por meio de criptografia e ofuscação É suspeito de ser um backdoor, com possibilidade de comunicação com servidor C2 (Command-and-Control) externo ○ inode262394 Fica oculto disfarçando a estrutura inode do sistema de arquivos Por meio de funções de rootkit, oculta sua própria existência e realiza ações como hooking de system calls Tenta obter elevação de privilégios no sistema e garantir acesso persistente Explicação adicional sobre o BPFDoor BPFDoor é um malware backdoor para Linux com ocultação de longo prazo que usa Berkeley Packet Filter (BPF) para monitoramento passivo de rede, sendo uma ferramenta de ataque com alto grau de furtividade capaz de observar o tráfego de rede sem abrir portas Devido às características do BPF, ele pode contornar firewalls e interceptar secretamente o tráfego de rede Para se disfarçar como processo do sistema, é executado em caminhos como /usr/libexec/postfix/master, aparecendo na lista de processos como se fosse um serviço comum Na maior parte do tempo, opera em memória e não deixa rastros em disco, o que também favorece evitar análises forenses Uma variante poderosa surgida em 2023 tem as seguintes características principais Método de criptografia: RC4 anterior → criptografia baseada na biblioteca estática libtomcrypt Método de comunicação: Bind Shell anterior → Reverse Shell, com o processo filho estabelecendo a conexão reversa Processamento de comandos: antes com comandos hardcoded → agora todos os comandos são recebidos em tempo real Nome de arquivo: antes fixo → agora gerado dinamicamente Mesmo após a detecção, separa processo filho e processo pai para evitar a resposta de detecção O código-fonte está disponível no GitHub

(boho.or.kr)

3 pontos por xguru 2025-05-04 | 1 comentários | Compartilhar no WhatsApp

Durante a resposta ao incidente de invasão da SKT, foram descobertas 8 variantes adicionais de malware, além dos 4 malwares já conhecidos da família BPFDoor voltados a sistemas Linux
- Como se trata de um backdoor para invasão persistente que não deixa rastros, pode haver possibilidade de vazamento de mais informações
Além do smartadm informado inicialmente, foram adicionados dbus-srv, inode262394, rad e outros, com funções como disfarce de processo do sistema, rootkit e instalação de backdoor

Informações relacionadas ao malware (por se tratar de variantes, não foi possível confirmar pelos hashes; informações de funções estimadas identificadas pelos nomes)

○ dbus-srv

É executado se passando pelo processo do sistema dbus-daemon
Possui funções de coleta de informações do sistema e execução remota de comandos
Evita detecção por meio de criptografia e ofuscação
É suspeito de ser um backdoor, com possibilidade de comunicação com servidor C2 (Command-and-Control) externo

○ inode262394

Fica oculto disfarçando a estrutura inode do sistema de arquivos
Por meio de funções de rootkit, oculta sua própria existência e realiza ações como hooking de system calls
Tenta obter elevação de privilégios no sistema e garantir acesso persistente

Explicação adicional sobre o BPFDoor

BPFDoor é um malware backdoor para Linux com ocultação de longo prazo que usa Berkeley Packet Filter (BPF) para monitoramento passivo de rede, sendo uma ferramenta de ataque com alto grau de furtividade capaz de observar o tráfego de rede sem abrir portas
- Devido às características do BPF, ele pode contornar firewalls e interceptar secretamente o tráfego de rede
Para se disfarçar como processo do sistema, é executado em caminhos como /usr/libexec/postfix/master, aparecendo na lista de processos como se fosse um serviço comum
Na maior parte do tempo, opera em memória e não deixa rastros em disco, o que também favorece evitar análises forenses
Uma variante poderosa surgida em 2023 tem as seguintes características principais
- Método de criptografia: RC4 anterior → criptografia baseada na biblioteca estática libtomcrypt
- Método de comunicação: Bind Shell anterior → Reverse Shell, com o processo filho estabelecendo a conexão reversa
- Processamento de comandos: antes com comandos hardcoded → agora todos os comandos são recebidos em tempo real
- Nome de arquivo: antes fixo → agora gerado dinamicamente
- Mesmo após a detecção, separa processo filho e processo pai para evitar a resposta de detecção
O código-fonte está disponível no GitHub

1 comentários

brainer 2025-05-04

Realmente, a probabilidade de terem levado tudo é...