GTPDOOR 恶意软件针对 Linux 系统

网络调查人员发现了一种新发现的 Linux 恶意软件，名为 GTPDOOR，专门设计用于部署在电信网络内的 GPRS 漫游交换机 (GRX) 附近。值得注意的是，该恶意软件的特点是利用 GPRS 隧道协议 (GTP) 进行命令和控制 (C2) 通信。

GPRS 漫游方便用户在其归属移动网络覆盖区域之外访问 GPRS 服务，这是通过 GRX 在拜访地和归属地公共陆地移动网络 (PLMN) 之间通过 GTP 传输漫游流量来实现的。

安全研究员 haxrob 发现了两个从中国和意大利上传到 VirusTotal 的 GTPDOOR 工件，他认为该后门与名为 LightBasin（又名 UNC1945）的已知威胁参与者之间可能存在联系。 CrowdStrike 于 2021 年 10 月披露了该攻击者策划对电信行业的攻击，以窃取用户信息和通话元数据的行为。

GTPDOOR 在行动

执行时，GTPDOOR 启动进程名称修改，将自己伪装成从内核调用的“[syslog]”。然后，它会抑制子信号并建立原始套接字，使植入程序能够接收影响网络接口的 UDP 消息。

本质上，GTPDOOR 允许在漫游交换网络上建立持久性的威胁行为者通过发送包含恶意负载的 GTP-C Echo Request 消息与受感染的主机进行通信。这种专门的 GTP-C Echo Request 消息充当管道，传递在受感染计算机上执行的命令，并将结果传输回远程主机。

研究人员强调，可以从外部网络谨慎地探测 GTPDOOR，通过向任何端口号发送 TCP 数据包来引发响应。如果植入程序处于活动状态，则会返回精心设计的空 TCP 数据包，以及有关目标端口是否打开或主机是否响应的信息。