GTPDOOR 惡意軟體針對 Linux 系統

網路調查人員發現了一種新發現的 Linux 惡意軟體，名為 GTPDOOR，專門設計用於部署在電信網路內的 GPRS 漫遊交換器 (GRX) 附近。值得注意的是，該惡意軟體的特點是利用 GPRS 隧道協定 (GTP) 進行命令和控制 (C2) 通訊。

GPRS 漫遊方便用戶在其歸屬行動網路覆蓋區域之外存取 GPRS 服務，這是透過 GRX 在拜訪地和歸屬地公共陸地行動網路 (PLMN) 之間透過 GTP 傳輸漫遊流量來實現的。

安全研究員 haxrob 發現了兩個從中國和義大利上傳到 VirusTotal 的 GTPDOOR 工件，他認為該後門與名為 LightBasin（又名 UNC1945）的已知威脅參與者之間可能存在聯繫。 CrowdStrike 於 2021 年 10 月揭露了該攻擊者策劃對電信業的攻擊，以竊取用戶資訊和通話元資料的行為。

GTPDOOR 在行動

執行時，GTPDOOR 啟動進程名稱修改，將自己偽裝成從核心呼叫的「[syslog]」。然後，它會抑制子訊號並建立原始套接字，使植入程式能夠接收影響網路介面的 UDP 訊息。

本質上，GTPDOOR 允許在漫遊交換網路上建立持久性的威脅行為者透過發送包含惡意負載的 GTP-C Echo Request 訊息與受感染的主機進行通訊。這種專門的 GTP-C Echo Request 訊息充當管道，傳遞在受感染電腦上執行的命令，並將結果傳回遠端主機。

研究人員強調，可以從外部網路謹慎地探測 GTPDOOR，透過向任何連接埠號碼發送 TCP 封包來引發回應。如果植入程式處於活動狀態，則會傳回精心設計的空 TCP 封包，以及有關目標連接埠是否開啟或主機是否回應的資訊。