L’Agence coréenne de promotion de l’internet (KISA) confirme 8 variantes de malware lors de la vérification du piratage de SKT

xguru · 2025-05-04T09:16:01+09:00

Lors de la réponse à l’incident de compromission de SKT, 8 variantes supplémentaires de malware ont été découvertes, en plus de 4 malwares existants de la famille BPFDoor visant les systèmes Linux S’agissant de portes dérobées destinées à une intrusion persistante, elles ne laissent pas de traces, ce qui laisse envisager une fuite d’informations plus importante En plus de smartadm, signalé dans un premier temps, dbus-srv, inode262394, rad et d’autres ont été ajoutés ; ils disposent de fonctions telles que l’usurpation de processus système, rootkit, installation de backdoor, etc. Informations liées au malware (comme il s’agit de variantes, elles ne peuvent pas être vérifiées via leur hash ; il s’agit d’informations estimées sur leurs fonctions, identifiées par leur nom) ○ dbus-srv S’exécute en se faisant passer pour le processus système dbus-daemon Dispose de fonctions de collecte d’informations système et d’exécution de commandes à distance Échappe à la détection grâce au chiffrement et à l’obfuscation Suspecté d’être une backdoor, avec une possible communication avec un serveur C2 (Command-and-Control) externe ○ inode262394 Se dissimule en usurpant la structure inode du système de fichiers Via des fonctions de rootkit, masque sa propre présence et effectue notamment du hooking d’appels système Tente une élévation de privilèges système et l’obtention d’un accès persistant Explications supplémentaires sur BPFDoor BPFDoor est un malware backdoor Linux furtif conçu pour une dissimulation de longue durée, doté d’une furtivité avancée lui permettant de surveiller le trafic réseau sans ouvrir de port, grâce à une surveillance réseau passive utilisant le Berkeley Packet Filter (BPF) En raison des caractéristiques de BPF, il peut contourner les pare-feu et intercepter discrètement le trafic réseau Afin d’usurper des processus système, il s’exécute via des chemins tels que /usr/libexec/postfix/master, se faisant ainsi passer pour un service ordinaire dans la liste des processus Comme il fonctionne majoritairement en mémoire et ne laisse pas de traces sur le disque, il est également avantagé pour éviter l’analyse forensique Une variante puissante apparue en 2023 présente les caractéristiques principales suivantes Méthode de chiffrement : RC4 auparavant → chiffrement basé sur la bibliothèque statique libtomcrypt Mode de communication : Bind Shell auparavant → Reverse Shell, avec établissement d’une connexion sortante par le processus enfant Traitement des commandes : auparavant commandes codées en dur → toutes les commandes sont désormais reçues en temps réel Nom de fichier : auparavant fixe → désormais généré dynamiquement Même après détection, il sépare le processus enfant du processus parent afin d’échapper aux contre-mesures de détection Le code source est publié sur GitHub

(boho.or.kr)

3 points par xguru 2025-05-04 | 1 commentaires | Partager sur WhatsApp

Lors de la réponse à l’incident de compromission de SKT, 8 variantes supplémentaires de malware ont été découvertes, en plus de 4 malwares existants de la famille BPFDoor visant les systèmes Linux
- S’agissant de portes dérobées destinées à une intrusion persistante, elles ne laissent pas de traces, ce qui laisse envisager une fuite d’informations plus importante
En plus de smartadm, signalé dans un premier temps, dbus-srv, inode262394, rad et d’autres ont été ajoutés ; ils disposent de fonctions telles que l’usurpation de processus système, rootkit, installation de backdoor, etc.

Informations liées au malware (comme il s’agit de variantes, elles ne peuvent pas être vérifiées via leur hash ; il s’agit d’informations estimées sur leurs fonctions, identifiées par leur nom)

○ dbus-srv

S’exécute en se faisant passer pour le processus système dbus-daemon
Dispose de fonctions de collecte d’informations système et d’exécution de commandes à distance
Échappe à la détection grâce au chiffrement et à l’obfuscation
Suspecté d’être une backdoor, avec une possible communication avec un serveur C2 (Command-and-Control) externe

○ inode262394

Se dissimule en usurpant la structure inode du système de fichiers
Via des fonctions de rootkit, masque sa propre présence et effectue notamment du hooking d’appels système
Tente une élévation de privilèges système et l’obtention d’un accès persistant

Explications supplémentaires sur BPFDoor

BPFDoor est un malware backdoor Linux furtif conçu pour une dissimulation de longue durée, doté d’une furtivité avancée lui permettant de surveiller le trafic réseau sans ouvrir de port, grâce à une surveillance réseau passive utilisant le Berkeley Packet Filter (BPF)
- En raison des caractéristiques de BPF, il peut contourner les pare-feu et intercepter discrètement le trafic réseau
Afin d’usurper des processus système, il s’exécute via des chemins tels que /usr/libexec/postfix/master, se faisant ainsi passer pour un service ordinaire dans la liste des processus
Comme il fonctionne majoritairement en mémoire et ne laisse pas de traces sur le disque, il est également avantagé pour éviter l’analyse forensique
Une variante puissante apparue en 2023 présente les caractéristiques principales suivantes
- Méthode de chiffrement : RC4 auparavant → chiffrement basé sur la bibliothèque statique libtomcrypt
- Mode de communication : Bind Shell auparavant → Reverse Shell, avec établissement d’une connexion sortante par le processus enfant
- Traitement des commandes : auparavant commandes codées en dur → toutes les commandes sont désormais reçues en temps réel
- Nom de fichier : auparavant fixe → désormais généré dynamiquement
- Même après détection, il sépare le processus enfant du processus parent afin d’échapper aux contre-mesures de détection
Le code source est publié sur GitHub

1 commentaires

brainer 2025-05-04

Il y a quand même de fortes chances que tout ait été compromis..