В целевых троянских атаках замечен новый eBPF-руткит

Татьяна Никитина 10 Декабря 2024 - 21:35

...

В целевых троянских атаках замечен новый eBPF-руткит

При разборе атаки на одного из своих клиентов эксперты «Доктор Веб» обнаружили нового кросс-платформенного трояна удаленного доступа и два руткита. Первый помогал маскировать второго, используя технологии eBPF (extended Berkeley Packet Filter).

Каким образом злоумышленникам удалось получить первоначальный доступ к ИТ-инфраструктуре, установить не удалось. Целевой вредонос Trojan.Siggen28.58279 был загружен в систему в составе фреймворка для постэксплуатации.

Цепочка заражения начинается со сбора системной информации, проверки враждебности среды и загрузки настроек из интернета (из публичного репозитория GitLab, GitHub либо блога на китайском языке).

После этого происходит загрузка eBPF-руткита, используемого для сокрытия работы руткита режима ядра Diamorphine, и тот уже готовит систему к установке трояна (выявлены две версии, для Linux и для Windows).

Новоявленный RAT поддерживает туннелирование трафика, позволяющее скрыть обмен с C2 и подачу команд.

Расследование выявило и другие случаи такого же заражения — в основном в странах Юго-Восточной Азии. По всей видимости, речь идет о какой-то активной киберкампании.

Широкие возможности eBPF позволяют злоумышленникам скрывать сетевую активность, сторонние процессы и сбор конфиденциальной информации, а также с успехом обходить файрволы и системы обнаружения вторжений (IDS).

Обнаружить подобных зловредов, по словам аналитиков, непросто, и используются они в основном в целевых APT-атаках. За последние пару лет в интернете объявилось несколько новых семейств eBPF-зловредов, в том числе Boopkit, Symbiote и BPFDoor.

Ситуацию усугубляет регулярное выявление уязвимостей в eBPF. На настоящий момент, по данным ИБ-компании, их уже 217, притом 100 были обнародованы в этом году.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

РТ-РЕД приобрела 30% капитала РЕД СОФТ

Яков Шпунт 10 Июня 2025 - 12:12

Корпорации РЕД СОФТ

Дочерняя структура Госкорпорации «Ростех» — компания «РТ-РЕД» — приобрела 30% капитала разработчика отечественного программного обеспечения «РЕД СОФТ». Сделка состоялась в рамках соглашения о стратегическом партнёрстве между компаниями. Финансовые условия не разглашаются.

Партнёрство направлено на совместное развитие экосистемы решений «РЕД СОФТ», создание корпоративных программных продуктов и программно-аппаратных комплексов, способствующих повышению эффективности бизнес-процессов.

Кроме того, сотрудничество предусматривает продвижение продукции вендора как на внутреннем, так и на внешних рынках. Компания «РТ-РЕД» была специально учреждена для развития взаимодействия сторон. Генеральным директором назначен Александр Кужекин.

«Партнёрство станет катализатором развития всей экосистемы российского софта. Оно поможет обеспечить не только технологический суверенитет, но и создать значительный экспортный потенциал совместных разработок. Это также ускорит цифровую трансформацию отечественной промышленности», — прокомментировал Александр Кужекин.

По словам генерального директора «РЕД СОФТ» Максима Анисимова, сотрудничество с «Ростехом» позволит компании ускорить развитие продуктовой линейки, реализовать новые масштабные проекты с технологическими партнёрами и предложить рынку — как российскому, так и международному — больше эффективных решений, включая те, что превосходят зарубежные аналоги.

Новый уровень взаимодействия будет способствовать достижению целей импортозамещения в ИТ-сфере, созданию условий для ускоренного экономического роста и укреплению позиций России в области высоких технологий.

Директор по цифровой трансформации Госкорпорации «Ростех» Максим Валин отметил, что компании уже имеют серьёзный опыт сотрудничества: на предприятиях «Ростеха» успешно используются система управления ИТ-инфраструктурой РЕД АДМ и операционная система РЕД ОС.

По его словам, новый формат партнёрства открывает дополнительные возможности для расширения продуктового портфеля и масштабирования отечественных ИТ-решений как в России, так и за её пределами.