Компания «Доктор Веб» опубликовала результаты исследования масштабной хакерской кампании, демонстрирующей новые тенденции в методах киберпреступников. Ключевым аспектом атак стало использование технологии eBPF (extended Berkeley Packet Filter), что указывает на растущую изощренность злоумышленников.
Анатомия современной APT-атаки
Расследование началось после обращения клиента, обнаружившего признаки компрометации корпоративной инфраструктуры. Анализ выявил серию аналогичных инцидентов, преимущественно в Юго-Восточной Азии. Злоумышленники применяют многоступенчатый подход, используя различные вредоносные инструменты на каждом этапе атаки.
Эксплуатация eBPF как новый вектор атак
Технология eBPF, изначально разработанная для расширения возможностей контроля над сетевой подсистемой Linux, привлекла внимание не только легитимных компаний вроде Google, Huawei, Intel и Netflix, но и киберпреступников. Злоумышленники используют eBPF для маскировки сетевой активности, обхода защитных механизмов и длительного сохранения доступа к скомпрометированным системам.
Механизм атаки с использованием eBPF
В ходе атаки устанавливаются два руткита: первый, основанный на eBPF, маскирует присутствие второго, реализованного как модуль ядра. Последний подготавливает систему для установки трояна удаленного доступа с продвинутыми возможностями туннелирования трафика.
Новые тренды в инфраструктуре кибератак
Исследователи отмечают рост использования публичных платформ для хранения конфигураций вредоносного ПО. GitHub становится предпочтительной платформой из-за его глобальной доступности, в том числе в регионах с жесткими интернет-ограничениями. Злоумышленники также используют региональные блоги и форумы для размещения управляющей информации.
Эволюция инструментов постэксплуатации
Наблюдается тенденция перехода от коммерческих решений вроде Cobalt Strike к открытым фреймворкам постэксплуатации. Это позволяет злоумышленникам модифицировать сетевые сигнатуры и избегать обнаружения. По данным исследователей, в 2024 году уже выявлено около 100 новых уязвимостей в технологии BPF, что создает дополнительные риски для безопасности.
Выявленные тенденции указывают на необходимость усиления мер защиты корпоративных инфраструктур, особенно в части мониторинга активности eBPF и контроля за сетевыми соединениями с публичными ресурсами. Организациям рекомендуется внедрять многоуровневые системы защиты и регулярно обновлять механизмы обнаружения современных киберугроз.
