Malware GTPDOOR tem como alvo sistemas Linux

Os investigadores cibernéticos detectaram um malware Linux recém-identificado chamado GTPDOOR, projetado especificamente para implantação próximo a centrais de roaming GPRS (GRX) em redes de telecomunicações. Notavelmente, este malware se distingue por utilizar o GPRS Tunneling Protocol (GTP) para suas comunicações de comando e controle (C2).

O roaming GPRS facilita aos assinantes o acesso aos serviços GPRS fora da sua área de cobertura da rede móvel doméstica, conseguido através de um GRX que transporta o tráfego de roaming via GTP entre a Rede Móvel Terrestre Pública (PLMN) visitada e a doméstica.

O pesquisador de segurança haxrob, que descobriu dois artefatos GTPDOOR carregados no VirusTotal da China e da Itália, sugere uma provável conexão entre o backdoor e um conhecido ator de ameaça chamado LightBasin (também conhecido como UNC1945). CrowdStrike denunciou este ator em outubro de 2021 por orquestrar ataques ao setor de telecomunicações para roubar informações de assinantes e metadados de chamadas.

GTPDOOR em ação

Após a execução, GTPDOOR inicia uma modificação do nome do processo, disfarçando-se como '[syslog]' invocado pelo kernel. Em seguida, ele suprime os sinais secundários e estabelece um soquete bruto, permitindo que o implante receba mensagens UDP que impactam as interfaces de rede.

Em essência, o GTPDOOR permite que um agente de ameaça com persistência estabelecida na rede de intercâmbio em roaming se comunique com um host comprometido enviando mensagens de solicitação de eco GTP-C contendo uma carga maliciosa. Essa mensagem especializada de solicitação de eco GTP-C funciona como um canal para transmitir comandos para execução na máquina infectada, transmitindo os resultados de volta ao host remoto.

O pesquisador destaca que o GTPDOOR pode ser sondado discretamente a partir de uma rede externa, obtendo uma resposta enviando um pacote TCP para qualquer número de porta. Se o implante estiver ativo, um pacote TCP vazio criado será retornado, juntamente com informações sobre se a porta de destino estava aberta ou respondendo no host.

Por Zaib
March 5, 2024
Computer Security
Portuguese
March 5, 2024
Computer Security

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.