#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gamaredon, группа APT, нацеленная на правительственный и военный секторы, использует сильно запутанные скрипты VBS и социальную инженерию военной тематики для развертывания вредоносных программ. Их тактика заключается в создании вредоносных файлов LNK, замаскированных под законные документы, для сохранения и поддержания устойчивой инфраструктуры C2 с помощью встроенных адресов резервного копирования. Недавние операции включают проверку среды на наличие определенных файлов для адаптации и расширения функциональности вредоносного ПО.
-----

APT-C-53, также известная как Gamaredon, является постоянной группировкой APT, которая действует с 2013 года, в основном нацеливаясь на правительственный и военный секторы с целью получения разведывательных данных. Недавние действия указывают на то, что Gamaredon не ослабевает, несмотря на продолжающееся раскрытие своих методологий поставщиками систем безопасности; скорее, похоже, что он наращивает свои атаки. Группа в основном использует вредоносные скрипты VBS, отличающиеся высокой степенью обфускации, включая фрагментацию кода и кодировку Base64, для улучшения своей тактики уклонения. Примечательным аспектом их стратегии является использование военной тематики в попытках социальной инженерии, что помогает снизить бдительность потенциальных жертв и увеличивает вероятность успешного запуска вредоносного ПО.

Методология атаки, используемая Gamaredon, включает в себя поэтапный подход к развертыванию, при котором первоначальные сценарии подготавливают почву для последующих действий, позволяя постепенно высвобождать полезную нагрузку. Эта последовательность действий усугубляется использованием стандартных пользовательских файлов для сохранения, включая создание вредоносных файлов LNK (ярлыков), замаскированных под законные документы, чтобы заманить пользователей к запуску вредоносных программ. Создание этих ярлыков особенно ориентировано на цели, ориентированные на безопасность, поскольку они используют военную тематику для дальнейшего привлечения пользователей.

В своей инфраструктуре управления (C2) Gamaredon внедрила отказоустойчивость, включив резервные адреса C2 в значения разделов реестра Windows, что обеспечивает непрерывность работы, даже если основной C2 становится недоступным. Кроме того, хакер продемонстрировал изощренность в маскировке вредоносных файлов — изменяя записи реестра и скрывая расширения файлов, вредоносные файлы LNK могут маскироваться под обычные форматы документов, такие как PDF или DOCX, что еще больше усложняет усилия по обнаружению.

Кроме того, недавние операции включали проверку определенных файлов в среде жертвы (например, наличие файла \~.drv в каталоге %APPDATA%) и, в случае отсутствия, копирование определенного файла (NTUSER.DAT.TMContainer) из общедоступного каталога для обеспечения сохраняемости. Эта адаптация облегчает будущие изменения функциональности вредоносного ПО и обеспечивает его постоянное присутствие в среде хостинга.

Чтобы снизить риски, связанные с угрозами, исходящими от Gamaredon, эксперты рекомендуют усилить меры безопасности электронной почты, чтобы отфильтровать попытки фишинга и вредоносные вложения, внедрить строгий мониторинг журналов на предмет необычного поведения системы и повысить безопасность терминалов, обеспечив регулярные обновления и всестороннюю проверку на наличие вредоносных программ на всех устройствах. Эти стратегии направлены на то, чтобы снизить вероятность того, что вы станете жертвой новых хакерских атак, осуществляемых такими группами APT.

#ParsedReport #CompletenessLow
04-06-2025

Crocodilus Mobile Malware: Evolving Fast, Going Global

https://www.threatfabric.com/blogs/crocodilus-mobile-malware-evolving-fast-going-global

Report completeness: Low

Threats:
Crocodilus

Victims:
Banks, Cryptocurrency platforms, E-commerce platforms, Online casino, Cryptocurrency wallet apps, Digital banks, Users over 35

Industry:
E-commerce, Entertainment, Financial

Geo:
Turkey, India, Brazil, Turkish, Spanish, Spain, Indonesia, Argentina, America, Poland

ChatGPT TTPs:
do not use without manual check
T1027, T1407, T1412, T1476, T1620, T1636, T1659

IOCs:
Domain: 2
Hash: 2

Soft:
Android

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crocodilus, продвинутый банковский троянец для Android, нацелен на пользователей в Европе, Южной Америке и Турции, используя обманчивую рекламу для обхода системы безопасности Android. Он захватывает конфиденциальную информацию, такую как ключи от криптовалютных кошельков, и совершенствует методы обфускации, чтобы избежать обнаружения, что отражает тенденцию к усложнению вредоносного ПО.
-----

В марте 2025 года в хакерской среде появился продвинутый банковский троян для Android, известный как Crocodilus, который сначала был обнаружен в ходе тестовых кампаний, а затем перешел к более активному распространению. Троянец быстро расширил сферу своей деятельности, включив в нее европейские страны и Южную Америку, а также продолжающиеся операции в Турции. Среди известных кампаний - таргетинг на польских пользователей с помощью вводящей в заблуждение рекламы, которая приводит к установке устройств, обходящих меры безопасности Android 13+. Эти рекламные объявления часто маскируются под рекламные акции от законных банковских приложений или приложений электронной коммерции, эффективно заставляя пользователей загружать вредоносное программное обеспечение обманом.

Crocodilus использует различные тактики для повышения своей эффективности. Он расширил свои возможности, включая возможность создавать новые контакты на устройстве жертвы, которые могут быть использованы для атак с использованием социальной инженерии. В частности, троянец может добавлять контакт, обманчиво помеченный как "Служба поддержки банка", что позволяет злоумышленникам связываться с жертвами, маскируясь под заслуживающих доверия лиц. Кроме того, вредоносное ПО в значительной степени фокусируется на получении конфиденциальной информации из приложений для криптовалютных кошельков, используя новый механизм для извлечения начальных фраз и закрытых ключей, что может способствовать мошенническим транзакциям и захвату учетных записей.

В компонентах вредоносного ПО также были усовершенствованы методы обфускации, которые включают усовершенствованную упаковку кода, исключающее шифрование и сложные конструкции кода, позволяющие избежать обнаружения и анализа. Эти меры усложняют процесс обратного проектирования, защищая троянца от обычных мер безопасности и систем обнаружения. Благодаря постоянному совершенствованию своих операционных стратегий и общей сложности программного обеспечения, Crocodilus демонстрирует растущую тенденцию к разработке вредоносных программ для решения новых задач безопасности, создавая значительные риски для пользователей в различных регионах.

Поскольку Crocodilus продолжает свои агрессивные кампании, это означает более широкий сдвиг в хакерских операциях, демонстрирующий возможности организованных хакеров адаптировать и расширять свои методы сбора ценных личных и финансовых данных. Последствия этих достижений подчеркивают необходимость повышения бдительности и упреждающей защиты частных лиц и организаций от все более изощренных банковских троянов.

#ParsedReport #CompletenessLow
04-06-2025

Criminals smuggle phishing code in SVG images

https://www.threatdown.com/blog/criminals-smuggle-phishing-code-in-svg-images/

Report completeness: Low

Victims:
Logistics company, Employee

Industry:
Logistic

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1078, T1204.002, T1566.001, T1566.002

IOCs:
File: 1
Url: 1
Domain: 1

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют файлы SVG в фишинговых атаках, чтобы обойти традиционные меры безопасности. Эти файлы, в которые может быть встроен вредоносный JavaScript, приводят к краже учетных данных, особенно для входа в систему Microsoft 365, и могут предоставлять злоумышленникам доступ к корпоративным сетям. Организациям настоятельно рекомендуется повысить безопасность электронной почты и проводить регулярное обучение сотрудников для устранения этих угроз.
-----

Киберпреступники начали использовать файлы SVG (масштабируемой векторной графики) в своих фишинговых кампаниях, что свидетельствует о смене векторов атак, направленных на обход традиционных мер безопасности. В недавнем случае сотрудник логистической компании получил электронное письмо, отправленное, как оказалось, из их организации, с предложением открыть вложенный SVG-файл. Этот метод отличается тем, что SVG-файлы редко используются в законных сообщениях, что делает их более эффективной приманкой при попытках фишинга.

Файлы SVG структурированы в формате XML, что позволяет встраивать в них HTML и JavaScript. Злоумышленники могут использовать эту особенность для включения вредоносного JavaScript, который активируется при открытии файла или в результате изменений в объектной модели документа (DOM), таких как любые структурные изменения на веб-странице. Вредоносный код может использовать объекты MutationObserver для отслеживания этих изменений DOM. В ситуации, когда жертва взаимодействует с файлом, встроенный JavaScript может способствовать перенаправлению на фишинговый сайт — тактика, которая уже была определена как рискованная такими платформами, как ThreatDown и Malwarebytes.

Целью этих кампаний является утечка конфиденциальной корпоративной информации, в частности, путем фишинга учетных данных. Как только вредоносная функция SVG заработает правильно, она сможет перехватить учетные данные для входа в Microsoft 365. Доступ к этим учетным данным не только подрывает защиту конфиденциальных электронных писем, документов и внутренних коммуникаций, но и потенциально позволяет злоумышленникам проникнуть во всю корпоративную сеть. Впоследствии это может привести к краже данных, эскалации атак и даже внедрению программ-вымогателей.

Для борьбы с этими растущими угрозами организациям рекомендуется внедрять надежные решения для защиты электронной почты, способные обнаруживать и изолировать подозрительные вложения, в том числе SVG-файлы. Необходимо регулярно проводить обучение сотрудников по вопросам безопасности, чтобы они могли распознавать попытки фишинга и реагировать на них. Сотрудникам следует проявлять осторожность при работе с неожиданными вложениями, независимо от типа файла, особенно если они получены из ненадежных источников. Кроме того, использование программного обеспечения endpoint security, обеспечивающего защиту от вредоносного кода и фишинговых доменов, остается важной линией защиты от этих сложных стратегий фишинга.

#ParsedReport #CompletenessLow
04-06-2025

Doppelganger: An Advanced LSASS Dumper with Process Cloning

https://labs.yarix.com/2025/06/doppelganger-an-advanced-lsass-dumper-with-process-cloning/

Report completeness: Low

Threats:
Lsass_dumper_tool
Doppelgnger_tool
Process_hollowing_technique
Hollowreaper
Api_obfuscation_technique
Mimikatz_tool
Procdump_tool
Process_injection_technique
As-rep_roasting_technique
Kerberoasting_technique
Dumplsass_tool
Passthehash_technique
Pypykatz_tool
Uac_bypass_technique
Antidebugging_technique
Minidump_tool
Donut
Apc_injection_technique

ChatGPT TTPs:
do not use without manual check
T1003, T1003.001, T1003.004, T1027, T1036, T1055, T1055.012, T1059.003, T1070.004, T1134.001, have more...

IOCs:
File: 22
Path: 2

Soft:
Local Security Authority, Microsoft Defender, Windows security, Virtual Secure Mode, winlogon

Algorithms:
xor

Functions:
writeSuccess, pGCP, CustomGetProcAddress

Win API:
MiniDumpWriteDump, SeDebugPrivilege, NtCreateProcessEx, OpenProcess, ReadProcessMemory, PsInitialSystemProcess, Process32FirstW, GetProcAddress, LoadLibraryA, DuplicateTokenEx, have more...

Win Services:
bits

Languages:
python

Platforms:
intel

Links:
https://github.com/vari-sh/RedTeamGrimoire/tree/main/Doppelganger
https://github.com/TheWover/donut

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Doppelganger - это инструмент для извлечения учетных данных, который обходит расширенные средства защиты Windows, такие как PPL и VBS, путем клонирования LSASS с помощью недокументированного системного вызова NtCreateProcessEx. В нем используется уязвимый драйвер для манипулирования памятью ядра, шифрование и динамическое разрешение для скрытности, а также повышение привилегий за счет олицетворения токена на системном уровне. Несмотря на свою сложность, он может давать неполные результаты из-за развития защитных технологий.
-----

Doppelganger - это инструмент для извлечения учетных данных из подсистемы управления локальной безопасностью (LSASS) в современных средах Windows. Он обходит традиционные средства защиты от сброса учетных данных, такие как Protected Process Light (PPL) и безопасность на основе виртуализации (VBS). Инструмент использует клонирование процессов вместо прямых манипуляций с памятью, чтобы избежать обнаружения. Он вызывает недокументированный системный вызов NtCreateProcessEx для клонирования LSASS без запуска предупреждений системы безопасности. Защита от несанкционированного доступа временно отключена с помощью уязвимого подписанного драйвера RTCore64.sys для манипулирования памятью ядра. Doppelganger создает копию LSASS для сброса памяти и использует динамическое разрешение и обфускацию XOR для скрытности. Учетные данные извлекаются путем шифрования дампа памяти и использования пользовательского обратного вызова в MiniDumpWriteDump для получения дампа без поднятия флагов. Инструмент может повышать привилегии, выдавая себя за токен системного уровня из таких процессов, как winlogon.exe. Несмотря на свои возможности, он может давать неполные результаты и все еще может быть обнаружен решениями по поведенческой безопасности.

#ParsedReport #CompletenessLow
04-06-2025

ClickFix Campaign Spoofs Booking.com for Malware Delivery

https://cofense.com/blog/clickfix-campaign-spoofs-booking-com-for-malware-delivery

Report completeness: Low

Threats:
Clickfix_technique
Fakecaptcha_technique
Xworm_rat
Purelogs
Danabot
Screenconnect_tool

Victims:
Hotel chains

Industry:
Foodtech

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055, T1056, T1059.001, T1059.003, T1105, T1140, T1204, T1204.001, have more...

IOCs:
File: 1
Command: 1
Url: 1

Soft:
Cloudflare Turnstile

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cofense Intelligence сообщает о росте числа фишинговых кампаний на туристическую тематику Booking.com , уделяя особое внимание сектору размещения. В этих кампаниях используются методы ClickFix для распространения вредоносных программ, таких как XWorm RAT, Pure Logs Stealer и DanaBot, с помощью вредоносных скриптов, запускаемых при взаимодействии с пользователем, специально предназначенных для пользователей Windows. Методы включают тактику социальной инженерии и различные вводящие в заблуждение темы, позволяющие избежать обнаружения и использовать поведение пользователей.
-----

Cofense Intelligence отмечает всплеск фишинговых кампаний на тему помощи туристам, которые специально подделывают Booking.com и нацелены на различные гостиничные сети в секторе услуг размещения и питания. В этих вредоносных кампаниях в основном используются атаки ClickFix, в ходе которых жертвы получают электронные письма, содержащие ссылки на поддельные сайты с капчей. Вместо законных кодов подтверждения эти сайты предоставляют вредоносный скрипт, предназначенный для использования взаимодействия с пользователем. Пользователям предлагается запустить этот скрипт с помощью сочетаний клавиш Windows. Растущая популярность этого метода стала очевидна с ноября 2024 года, а к марту 2025 года был зафиксирован значительный рост активности кампаний, когда в 75% активных сообщений об угрозах использовались шаблоны для подмены <url>.

Кампании в основном распространяют два вида вредоносных программ: трояны для удаленного доступа (RATs) и похитители информации. XWorm RAT выделяется как наиболее распространенное вредоносное ПО, фигурирующее в 53% сообщений об активных угрозах. Другие распространенные вредоносные программы в этих кампаниях включают Pure Logs Stealer, обнаруженный в 19% сообщений, и DanaBot, обнаруженный в 14%. Структура атаки, хотя и варьируется, обычно соответствует схеме, при которой фишинговые электронные письма приводят к сайтам с исправлениями кликов, на которых размещаются вредоносные скрипты, способные выполнять функции RAT и кражи информации.

Примечательно, что сайты ClickFix запрограммированы на оценку операционной системы жертвы путем проверки пользовательского агента браузера. Они отображают сообщения, указывающие на совместимость только с Windows, вероятно, из-за того, что вредоносное ПО было специально разработано для сред Windows. Вредоносные скрипты обычно используют PowerShell или Microsoft HTML-приложения (.hta), которые выполняются с помощью команд, которые запускаются следующим образом mshta.exe за которыми следует указанный URL-адрес.

Технология ClickFix основана на принципах социальной инженерии и позволяет жертвам обманом запускать скрипты самостоятельно, без необходимости загрузки файлов. Событие JavaScript на сайте ClickFix переносит вредоносный скрипт в буфер обмена пользователя при вводе поддельной капчи. Этот подход предполагает последовательность инструкций, которым пользователь невольно следует для выполнения сценария. Например, пользователям может быть предложено нажать клавишу Windows + R, которая открывает команду запуска, а вставка сценария с помощью Ctrl + V и нажатие Enter активирует полезную нагрузку.

Кампании также отличаются друг от друга, в них используются различные темы для привлечения жертв к кликам, такие как баннеры с согласием на использование cookie-файлов, а также основной подход, основанный на использовании CAPTCHA. Такая адаптивность подчеркивает эволюцию тактики, используемой хакерами в попытке запутать свои методы и эффективно использовать поведение пользователей. В целом, развитие этих фишинговых кампаний в сочетании с используемыми техническими методологиями свидетельствует о сохраняющейся угрозе, нацеленной на уязвимые сектора с помощью все более изощренных средств.

#ParsedReport #CompletenessLow
04-06-2025

BPFDoor - Part 1 - The past

https://haxrob.net/bpfdoor-past-and-present-part-1/

Report completeness: Low

Actors/Campaigns:
Winnti

Threats:
Bpfdoor
Sniffdoor
Timestomp_technique
Adoreng_rootkit
Notbpfdoor

Victims:
Telecommunication company

Industry:
Telco

Geo:
Hong kong

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1070.006, T1095, T1140, T1546.004

IOCs:
Hash: 3

Soft:
Linux

Win API:
setsockopt

Links:
https://github.com/haxrob/soshell/?ref=haxrob.net
have more...
https://github.com/haxrob/sniffdoor-1.0?ref=haxrob.net
https://github.com/haxrob/BPFDoor/blob/main/bpfdoor.c?ref=haxrob.net#L224

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6, dump: 5, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BPFDoor - это сложная вредоносная программа для Linux, связанная со старым sniffdoor, использующая передовые технологии скрытности, зашифрованную полезную нагрузку и использование фильтров BPF для сокрытия процессов. Вредоносная программа эволюционировала от более ранних вариантов, таких как NotBPFDoor, включив рандомизацию в названия процессов и скрипты для сохранения, что указывает на продолжающуюся эволюцию в рамках этой линейки вредоносных программ.
-----

BPFDoor - это сложная вредоносная программа для Linux, корни которой связаны с более старой вредоносной программой sniffdoor, чей исходный код было сложно найти. Несколько ранних образцов BPFDoor содержат жестко заданный пароль "justforfun", который, как предполагается, связан с ранним развитием и влиянием sniffdoor, разработанного примерно в 2006-2007 годах. BPFDoor объединяет расширенные функции по сравнению со sniffdoor, такие как улучшенная скрытность, использование фильтра BPF для минимизации трафика в процессе поиска определенных пакетов и поддержка волшебных пакетов по протоколам TCP, UDP и ICMP. Его полезная нагрузка зашифрована, что способствует использованию механизмов обхода, которые включают в себя маскировку имени процесса и замедление времени.

И BPFDoor, и sniffdoor используют общий код из программы под названием bindtty, при этом BPFDoor также использует правила iptables для эффективного сокрытия своих процессов. Исследование предполагает, что разработчиком BPFDoor мог быть либо WZT, создатель sniffdoor, либо под влиянием более раннего кода из той же линейки, хотя остается неопределенность относительно точного авторства. Использование фразы "просто для развлечения" может либо отражать связь между разработчиками, либо быть простым совпадением, отражающим общую культуру среди энтузиастов Linux.

В ходе анализа был обнаружен более ранний вариант под названием NotBPFDoor, который демонстрирует значительное совпадение кода с BPFDoor, хотя в нем отсутствуют некоторые сложные функции, такие как фильтр BPF, который использует BPFDoor. Эта версия была обнаружена в 2016 году, она появилась раньше общедоступного исходного кода и указывает на эволюцию возможностей вредоносного ПО с течением времени.

Дальнейшее техническое исследование показало, что в ранних версиях BPFDoor обычно используется одно жестко заданное имя процесса, затем оно заменяется на случайно выбранные имена и возвращается к отдельным именам в более новых версиях. Механизмы сохранения работоспособности вредоносного ПО указывали на использование скриптов, выполняемых при входе пользователя в систему, для поддержания работоспособности после перезагрузки.

Коммуникация вредоносного ПО основана на жестко закодированных магических байтах, с течением времени наблюдаются изменения, которые относятся к различным образцам BPFDoor. NotBPFDoor выделяется как ранняя ветвь BPFDoor, что указывает на почти линейный эволюционный путь в разработке и развертывании стратегии вредоносного ПО, который будет дополнительно изучен в последующих анализах. Это всестороннее исследование эволюции BPFDoor подчеркивает сложное взаимодействие исторических разработок вредоносных программ и потенциального перекрестного распространения кода в среде хакеров.

#ParsedReport #CompletenessLow
04-06-2025

BPFDoor Part 2 - The Present

https://haxrob.net/bpfdoor-past-and-present-part-2/

Report completeness: Low

Threats:
Bpfdoor

Victims:
Telecommunications provider

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1070.004, T1095, T1573.002

IOCs:
Hash: 15
Coin: 1
File: 1

Soft:
Linux, systemd, openssl

Algorithms:
rc4, sha1, md5

Win API:
setsockopt

YARA: Found

Links:
https://github.com/haxrob/BPFDoor/blob/main/bpfdoor.c?ref=haxrob.net#L532
have more...
https://github.com/haxrob/BPFDoor/blob/main/bpfdoor.c?ref=haxrob.net#L524C16-L524C50
https://github.com/Neo23x0/signature-base/blob/391a990859091dbc4c21d15db335b371090f606e/yara/mal\_lnx\_implant\_may22.yar?ref=haxrob.net

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последние версии вредоносного ПО BPFDoor были усовершенствованы, чтобы избежать обнаружения за счет удаления операций без использования файлов, ограничения использования сокетов до SOCK_UDP и внедрения SSL-сертификатов для шифрования. Вредоносное ПО теперь сохраняет свое присутствие на диске с фиксированными именами процессов, что усложняет методы обнаружения. Аналитики должны адаптироваться, отслеживая неожиданные процессы и проверяя различные типы разъемов для выявления потенциальных аномалий.
-----

Последние версии вредоносного ПО BPFDoor были разработаны таким образом, чтобы обойти существующие механизмы обнаружения, особенно те, которые определены в правилах BPFDoor Yara от 2022 года. Примечательно, что в результате взлома одного из крупных телекоммуникационных провайдеров в апреле 2025 года были обнаружены эти новые, статически скомпилированные и удаленные образцы, которые демонстрируют значительные изменения в поведении по сравнению с более ранними версиями. Обновленный BPFDoor больше не использует сокеты SOCK_RAW; вместо этого в его открытых файловых дескрипторах присутствуют только сокеты SOCK_UDP, в то время как он продолжает принимать пакеты пробуждения, отправленные по протоколам ICMP, UDP и TCP.

Одним из наиболее существенных изменений является удаление функции работы без файлов, которая ранее позволяла вредоносному ПО копировать себя в файл /dev/shm, запускаться оттуда и впоследствии удалять свои следы с диска. Текущий вариант не взаимодействует с /dev/shm и сохраняет свое присутствие на диске, функционируя больше как обычный процесс. Тактика маскировки также претерпела изменения; в то время как в более ранних версиях имена масок выбирались случайным образом из заранее определенного списка распространенных имен процессов, в новой реализации используется фиксированное имя процесса и настраиваются пути к файлам блокировки мьютексов, чтобы они более эффективно вписывались в целевую среду. Это изменение усложняет обнаружение, поскольку традиционные методы обнаружения, которые выполняют поиск по определенным именам процессов или типам сокетов, могут не определить наличие BPFDoor.

Еще одним важным аспектом является обновление механизма транспортного шифрования SSL, который теперь включает встроенный сертификат, обеспечивающий высокий уровень конфиденциальности при передаче данных. Кроме того, длина BPF (Berkeley Packet Filter) была увеличена до 229 байт, что может повысить его способность оставаться незамеченным при выполнении операций на сетевом уровне.

Отказ от ранее эффективных методов уклонения привел к изменению методологий обнаружения; аналитикам теперь рекомендуется отслеживать непредвиденные процессы, которые поддерживают открытые исходные сокеты, поскольку ранее применявшиеся методы больше неприменимы. Отсутствие SOCK_RAW в поведении BPFDoor переключает внимание аналитиков, которым теперь, возможно, потребуется проверить другие типы сокетов, чтобы найти аномалии, которые могли бы указывать на присутствие BPFDoor.

Таким образом, вредоносная программа BPFDoor адаптировала свою тактику работы, изменив использование сокетов, поведение своих процессов, отказавшись от использования временных файлов для выполнения и изменив методы шифрования. Эти изменения создают новые проблемы при обнаружении и указывают на продолжающуюся эволюцию стратегий вредоносного ПО, направленных на противодействие мерам безопасности.