Le logiciel malveillant GTPDOOR cible les systèmes Linux

Les cyber-enquêteurs ont détecté un malware Linux récemment identifié nommé GTPDOOR, spécialement conçu pour être déployé à proximité des échanges d'itinérance GPRS (GRX) au sein des réseaux de télécommunications. Ce malware se distingue notamment en utilisant le protocole de tunneling GPRS (GTP) pour ses communications de commande et de contrôle (C2).

L'itinérance GPRS permet aux abonnés d'accéder aux services GPRS en dehors de la zone de couverture de leur réseau mobile domestique, grâce à un GRX transportant le trafic itinérant via GTP entre le réseau mobile terrestre public (PLMN) visité et domestique.

Le chercheur en sécurité haxrob, qui a découvert deux artefacts GTPDOOR téléchargés sur VirusTotal depuis la Chine et l'Italie, suggère un lien probable entre la porte dérobée et un acteur malveillant connu nommé LightBasin (alias UNC1945). CrowdStrike a révélé cet acteur en octobre 2021 pour avoir orchestré des attaques contre le secteur des télécommunications afin de voler les informations sur les abonnés et les métadonnées des appels.

GTPDOOR en action

Lors de l'exécution, GTPDOOR initie une modification du nom du processus, se déguisant en « [syslog] » invoqué depuis le noyau. Il supprime ensuite les signaux enfants et établit un socket brut, permettant à l'implant de recevoir des messages UDP impactant les interfaces réseau.

Essentiellement, GTPDOOR permet à un acteur malveillant ayant une persistance établie sur le réseau d'échange itinérant de communiquer avec un hôte compromis en envoyant des messages GTP-C Echo Request contenant une charge utile malveillante. Ce message spécialisé GTP-C Echo Request fonctionne comme un canal pour transmettre les commandes à exécuter sur la machine infectée, transmettant les résultats à l'hôte distant.

Le chercheur souligne que GTPDOOR peut être discrètement sondé à partir d'un réseau externe, suscitant une réponse en envoyant un paquet TCP à n'importe quel numéro de port. Si l'implant est actif, un paquet TCP vide contrefait est renvoyé, accompagné d'informations indiquant si le port de destination était ouvert ou répondait sur l'hôte.

Par Zaib
March 5, 2024
Computer Security
Français
March 5, 2024
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.