GTPDOOR Malware retter sig mod Linux-systemer

Cyber-efterforskere har opdaget en nyligt identificeret Linux-malware ved navn GTPDOOR, specielt udviklet til implementering i nærheden af GPRS-roaming-udvekslinger (GRX) inden for telekommunikationsnetværk. Denne malware udmærker sig især ved at bruge GPRS Tunneling Protocol (GTP) til sin kommando-og-kontrol-kommunikation (C2).

GPRS-roaming gør det lettere for abonnenter at få adgang til GPRS-tjenester uden for deres hjemmemobilnetværks dækningsområde, opnået gennem en GRX, der transporterer roamingtrafik via GTP mellem det besøgte og det offentlige landmobilnetværk (PLMN).

Sikkerhedsforsker haxrob, der afslørede to GTPDOOR-artefakter uploadet til VirusTotal fra Kina og Italien, foreslår en sandsynlig forbindelse mellem bagdøren og en kendt trusselsaktør ved navn LightBasin (alias UNC1945). CrowdStrike afslørede denne skuespiller i oktober 2021 for at orkestrere angreb på telekommunikationssektoren for at stjæle abonnentoplysninger og opkaldsmetadata.

GTPDOOR i aktion

Ved udførelse påbegynder GTPDOOR en ændring af procesnavnet, der forklæder sig selv som '[syslog]' påkaldt fra kernen. Det undertrykker derefter børnesignaler og etablerer en rå socket, hvilket gør det muligt for implantatet at modtage UDP-meddelelser, der påvirker netværksgrænsefladerne.

I bund og grund tillader GTPDOOR en trusselsaktør med etableret vedholdenhed på roamingudvekslingsnetværket at kommunikere med en kompromitteret vært ved at sende GTP-C Echo Request-meddelelser, der indeholder en ondsindet nyttelast. Denne specialiserede GTP-C Echo Request-meddelelse fungerer som en kanal til at formidle kommandoer til udførelse på den inficerede maskine, og sender resultaterne tilbage til den eksterne vært.

Forskeren fremhæver, at GTPDOOR diskret kan undersøges fra et eksternt netværk, hvilket fremkalder et svar ved at sende en TCP-pakke til et hvilket som helst portnummer. Hvis implantatet er aktivt, returneres en udformet tom TCP-pakke sammen med oplysninger om, hvorvidt destinationsporten var åben eller svarede på værten.

I Zaib
March 5, 2024
Computer Security
Dansk
March 5, 2024
Computer Security

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

12 days siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.