Компанія “Доктор Веб” оприлюднила результати масштабного дослідження нової хакерської кампанії, яка демонструє суттєву еволюцію методів кіберзлочинців. Центральним елементом виявлених атак стало використання технології eBPF (extended Berkeley Packet Filter), що свідчить про значне підвищення технічної складності кіберзагроз.
Особливості виявленої APT-кампанії
Дослідження розпочалося після виявлення ознак компрометації корпоративної мережі одного з клієнтів. Подальший аналіз показав наявність серії подібних інцидентів, переважно в регіоні Південно-Східної Азії. Зловмисники застосовують складний багатоетапний підхід, використовуючи різноманітні шкідливі інструменти на кожній стадії атаки.
Технологія eBPF як новий інструмент кіберзлочинців
eBPF, спочатку розроблена для розширення можливостей контролю мережевої підсистеми Linux, привернула увагу не лише легітимних компаній, таких як Google, Huawei, Intel та Netflix, але й кіберзлочинців. Зловмисники використовують цю технологію для приховування мережевої активності, обходу систем захисту та забезпечення довготривалого доступу до скомпрометованих систем.
Технічні аспекти атак з використанням eBPF
Атака включає встановлення двох типів руткітів: перший, базований на eBPF, маскує присутність другого, реалізованого як модуль ядра операційної системи. Другий руткіт готує систему для впровадження троянської програми віддаленого доступу з розширеними можливостями тунелювання трафіку.
Інфраструктурні зміни в організації кібератак
Експерти відзначають зростання використання публічних платформ для зберігання конфігурацій шкідливого програмного забезпечення. GitHub став пріоритетною платформою через його глобальну доступність, включаючи регіони з жорсткими обмеженнями доступу до інтернету. Додатково використовуються регіональні блоги та форуми для розміщення керуючої інформації.
Розвиток інструментів постексплуатації
Спостерігається тенденція переходу від комерційних рішень на кшталт Cobalt Strike до відкритих фреймворків постексплуатації. За даними дослідників, у 2024 році вже виявлено близько 100 нових вразливостей у технології BPF, що створює додаткові ризики для безпеки корпоративних мереж.
Виявлені тенденції вказують на необхідність посилення захисту корпоративних інфраструктур, особливо в частині моніторингу активності eBPF та контролю мережевих з’єднань з публічними ресурсами. Організаціям рекомендується впроваджувати багаторівневі системи захисту, регулярно оновлювати механізми виявлення сучасних кіберзагроз та проводити навчання персоналу щодо нових векторів атак.