به تازگی مؤلفه کنترلر جدید مرتبط با دربپشتی شناخته شده BPFDoor، شناسایی شده است که در جریان حملاتی علیه بخشهای مخابرات، مالی و خردهفروشی در کشورهای کره جنوبی، هنگکنگ، میانمار، مالزی و مصر در سال 2024 مورد استفاده قرار گرفت.
به گفته محقق شرکت Trend Micro، «کنترلر میتواند reverse shell باز کند که حرکت جانبی را برای نفوذگر فراهم میسازد تا به عمق شبکههای آلوده نفوذ کند و کنترل سیستمهای بیشتر یا دسترسی به دادههای حساس را به دست آورد. این کمپین به گروه تهدید Earth Bluecrow (معروف به DecisiveArchitect، Red Dev 18 و Red Menshen) یاد میکند. درب پشتی BPFDoor، بدافزار لینوکسی که نخستین بار در سال 2022 شناسایی شد و به عنوان ابزاری برای جاسوسی بلندمدت مورد استفاده قرار گرفت و حداقل از یک سال پیش از افشای عمومی، در حملاتی علیه نهادهای آسیایی و خاورمیانهای فعال بود. متمایزترین جنبه BPFDoor به عنوان یک دربپشتی لینوکس، این است که با ایجاد یک کانال دائمی و در عین حال پنهان برای عوامل تهدید، ایستگاههای کاری در معرض خطر را کنترل کنند و به دادههای حساس در مدت زمان طولانی دسترسی داشته باشند. این بدافزار نام خود را از استفاده از Berkeley Packet Filter (BPF) گرفته است، فناوری که به برنامهها اجازه میدهد فیلترهای شبکه را به یک سوکت باز وصل کنند تا پکتهای شبکه ورودی را بازرسی کنند و دنبالهای خاص Magic Byte را نظارت کنند تا وارد عمل شوند.
https://thehackernews.com/2025/04/new-bpfdoor-controller-enables-stealthy.html
