Korea Internet & Security Agency (KISA) confirma 8 variantes de malware mientras investiga el hackeo a SKT

xguru · 2025-05-04T09:16:01+09:00

Durante la respuesta al incidente de intrusión de SKT, además de 4 muestras existentes de malware de la familia BPFDoor dirigidas a sistemas Linux, se descubrieron 8 variantes adicionales de malware Al tratarse de puertas traseras para intrusión persistente que no dejan rastros, existe la posibilidad de una filtración de información mayor Además de smartadm, que se dio a conocer en la primera etapa, se agregaron dbus-srv, inode262394, rad y otros, con funciones como suplantación de procesos del sistema, rootkit e instalación de backdoors Información relacionada con el malware (al ser variantes, no se pudo verificar por hash; la información funcional estimada se obtuvo a partir del nombre) ○ dbus-srv Se ejecuta suplantando al proceso del sistema dbus-daemon Tiene funciones de recolección de información del sistema y ejecución remota de comandos Evade la detección mediante cifrado y ofuscación Se sospecha que es un backdoor, con posible comunicación con un servidor C2 (Command-and-Control) externo ○ inode262394 Se oculta suplantando la estructura inode del sistema de archivos Mediante funciones de rootkit, oculta su propia existencia y realiza acciones como hooking de llamadas al sistema Intenta elevar privilegios del sistema y asegurar acceso persistente Explicación adicional sobre BPFDoor BPFDoor es un malware backdoor de Linux con ocultamiento de largo plazo y una herramienta de ataque con alto sigilo que usa monitoreo pasivo de red basado en Berkeley Packet Filter (BPF) para vigilar el tráfico de red sin abrir puertos Debido a las características de BPF, puede evadir firewalls e interceptar tráfico de red en secreto Para suplantar procesos del sistema, se ejecuta desde rutas como /usr/libexec/postfix/master, disfrazándose como un servicio común en la lista de procesos En su mayoría opera en memoria y no deja rastros en disco, lo que también favorece la evasión del análisis forense Una variante potente aparecida en 2023 tiene las siguientes características principales Método de cifrado: RC4 anterior → cifrado basado en la biblioteca estática libtomcrypt Método de comunicación: Bind Shell anterior → Reverse Shell, donde el proceso hijo establece una conexión inversa Procesamiento de comandos: antes eran comandos hardcodeados → ahora todos los comandos se reciben en tiempo real Nombre de archivo: antes era fijo → ahora se genera dinámicamente Incluso después de la detección, separan el proceso hijo y el proceso padre para evadir la respuesta de detección El código fuente está publicado en GitHub

(boho.or.kr)

3 puntos por xguru 2025-05-04 | 1 comentarios | Compartir por WhatsApp

Durante la respuesta al incidente de intrusión de SKT, además de 4 muestras existentes de malware de la familia BPFDoor dirigidas a sistemas Linux, se descubrieron 8 variantes adicionales de malware
- Al tratarse de puertas traseras para intrusión persistente que no dejan rastros, existe la posibilidad de una filtración de información mayor
Además de smartadm, que se dio a conocer en la primera etapa, se agregaron dbus-srv, inode262394, rad y otros, con funciones como suplantación de procesos del sistema, rootkit e instalación de backdoors

Información relacionada con el malware (al ser variantes, no se pudo verificar por hash; la información funcional estimada se obtuvo a partir del nombre)

○ dbus-srv

Se ejecuta suplantando al proceso del sistema dbus-daemon
Tiene funciones de recolección de información del sistema y ejecución remota de comandos
Evade la detección mediante cifrado y ofuscación
Se sospecha que es un backdoor, con posible comunicación con un servidor C2 (Command-and-Control) externo

○ inode262394

Se oculta suplantando la estructura inode del sistema de archivos
Mediante funciones de rootkit, oculta su propia existencia y realiza acciones como hooking de llamadas al sistema
Intenta elevar privilegios del sistema y asegurar acceso persistente

Explicación adicional sobre BPFDoor

BPFDoor es un malware backdoor de Linux con ocultamiento de largo plazo y una herramienta de ataque con alto sigilo que usa monitoreo pasivo de red basado en Berkeley Packet Filter (BPF) para vigilar el tráfico de red sin abrir puertos
- Debido a las características de BPF, puede evadir firewalls e interceptar tráfico de red en secreto
Para suplantar procesos del sistema, se ejecuta desde rutas como /usr/libexec/postfix/master, disfrazándose como un servicio común en la lista de procesos
En su mayoría opera en memoria y no deja rastros en disco, lo que también favorece la evasión del análisis forense
Una variante potente aparecida en 2023 tiene las siguientes características principales
- Método de cifrado: RC4 anterior → cifrado basado en la biblioteca estática libtomcrypt
- Método de comunicación: Bind Shell anterior → Reverse Shell, donde el proceso hijo establece una conexión inversa
- Procesamiento de comandos: antes eran comandos hardcodeados → ahora todos los comandos se reciben en tiempo real
- Nombre de archivo: antes era fijo → ahora se genera dinámicamente
- Incluso después de la detección, separan el proceso hijo y el proceso padre para evadir la respuesta de detección
El código fuente está publicado en GitHub

1 comentarios

brainer 2025-05-04

Sí, la probabilidad de que les hayan sacado todo...