hackingnews.de

Cybersecurity Neuigkeiten aus aller Welt

GTPDOOR: Linux-Malware zielt auf Telekommunikationsunternehmen ab und nutzt GPRS-Roaming-Netzwerke aus

Feb 29, 2024

Neue Linux-Malware, die in Telekommunikationsnetzwerken entdeckt wurde

Threat-Hunter haben eine neue Linux-Malware namens GTPDOOR entdeckt, die speziell für den Einsatz in Telekommunikationsnetzwerken entwickelt wurde, die an GPRS Roaming-Austauschpunkte (GRX) angrenzen. Diese Schadsoftware nutzt das GPRS Tunnelling Protocol (GTP) für ihre Befehls- und Kontrollkommunikation.

GPRS-Roaming ermöglicht es Abonnenten, auf ihre GPRS-Dienste zuzugreifen, wenn sie sich außerhalb des Bereichs ihres Heimnetzwerks befinden. Dies wird durch einen GRX ermöglicht, der den Roaming-Traffic mithilfe von GTP zwischen dem besuchten und dem Heimnetzwerk des öffentlichen Mobilfunknetzes transportiert.

Der Sicherheitsforscher haxrob entdeckte zwei GTPDOOR-Artefakte, die von China und Italien aus auf VirusTotal hochgeladen wurden. Die Backdoor wird wahrscheinlich mit einer bekannten Bedrohungsakteur namens LightBasin (auch bekannt als UNC1945) in Verbindung gebracht, der im Oktober 2021 von CrowdStrike im Zusammenhang mit einer Serie von Angriffen auf den Telekommunikationssektor zur Stealung von Abonnenteninformationen und Anruflisten offenbart wurde.

Wenn GTPDOOR gestartet wird, ändert es zuerst seinen Prozessnamen in „[syslog]“ und versteckt sich als syslog, der vom Kernel aufgerufen wird. Dann öffnet es einen so genannten „raw socket“, der dem Implantat ermöglicht, UDP-Nachrichten von den Netzwerkschnittstellen zu empfangen.

Auf diese Weise können Bedrohungsakteure, die bereits eine Persistenz im Roaming-Austauschnetzwerk etabliert haben, durch den Versand von GTP-C-Echo-Request-Nachrichten mit einem bösartigen Nutzdaten an einen kompromittierten Rechner Kontakt aufnehmen. Diese Nachricht dient als Übertragungskanal für die Ausführung von Befehlen auf dem infizierten Rechner und die Rücksendung der Ergebnisse an den Remote-Rechner.

Der Forscher stellte fest, dass GTPDOOR auch „heimlich von einem externen Netzwerk aus erkundet werden kann, um eine Antwort zu erhalten, indem ein TCP-Paket an eine beliebige Portnummer gesendet wird. Wenn das Implantat aktiv ist, wird ein speziell gefertigtes leeres TCP-Paket zurückgesendet, das Informationen darüber liefert, ob der Zielport auf dem Host geöffnet oder antwortet.“

Ähnliche Beiträge

Wie Cyberkriminelle Indiens UPI für Geldwäscheoperationen ausnutzen

Über 100 bösartige KI-/ML-Modelle auf der Hugging Face-Plattform entdeckt

Phobos Ransomware zielt aggressiv auf US-Kritische Infrastruktur ab