GTPDOOR-malware richt zich op Linux-systemen

Cyberonderzoekers hebben een nieuw geïdentificeerde Linux-malware ontdekt, GTPDOOR genaamd, die speciaal is ontworpen voor inzet in de buurt van GPRS-roaming-exchanges (GRX) binnen telecomnetwerken. Deze malware onderscheidt zich met name door gebruik te maken van het GPRS Tunneling Protocol (GTP) voor zijn command-and-control (C2)-communicatie.

Met GPRS-roaming kunnen abonnees toegang krijgen tot GPRS-diensten buiten het dekkingsgebied van hun mobiele thuisnetwerk, bereikt door een GRX die roamingverkeer via GTP transporteert tussen het bezochte en eigen Public Land Mobile Network (PLMN).

Beveiligingsonderzoeker Haxrob, die twee GTPDOOR-artefacten heeft ontdekt die vanuit China en Italië naar VirusTotal zijn geüpload, suggereert een waarschijnlijk verband tussen de achterdeur en een bekende bedreigingsacteur genaamd LightBasin (ook bekend als UNC1945). CrowdStrike maakte deze acteur in oktober 2021 bekend voor het orkestreren van aanvallen op de telecomsector om abonneegegevens te stelen en metadata op te roepen.

GTPDOOR in actie

Bij uitvoering initieert GTPDOOR een wijziging van de procesnaam, vermomd als '[syslog]', aangeroepen vanuit de kernel. Vervolgens onderdrukt het kindsignalen en brengt het een ruwe socket tot stand, waardoor het implantaat UDP-berichten kan ontvangen die van invloed zijn op de netwerkinterfaces.

In wezen zorgt GTPDOOR ervoor dat een bedreigingsacteur met gevestigde persistentie op het roaming-uitwisselingsnetwerk kan communiceren met een gecompromitteerde host door GTP-C Echo Request-berichten te verzenden die een kwaadaardige lading bevatten. Dit gespecialiseerde GTP-C Echo Request-bericht functioneert als een kanaal om opdrachten over te brengen voor uitvoering op de geïnfecteerde machine, en de resultaten terug te sturen naar de externe host.

De onderzoeker benadrukt dat GTPDOOR discreet kan worden onderzocht vanaf een extern netwerk, waarbij een reactie kan worden uitgelokt door een TCP-pakket naar een willekeurig poortnummer te sturen. Als het implantaat actief is, wordt een vervaardigd leeg TCP-pakket geretourneerd, samen met informatie over of de bestemmingspoort open was of reageerde op de host.

Tegen Zaib
March 5, 2024
Computer Security
Nederlands
March 5, 2024
Computer Security

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.