Специалисты обнаружили и проанализировали новую версию малвари BPFDoor, которая атакует устройства на базе Linux. Основные отличия – более надежно шифрование и обновленный механизм взаимодействия с реверс-шеллами.
BPFDoor (другое название JustForFun) – классический бэкдор, обнаруженный в начале 2022 года. Аббревиатура BPF, используемая в названии указывает на технологию Berkley Packet Filter, которая используется для обхода брандмауэра при связи с управляющим сервером. До 2022 года вредоносная утилита использовала для связи iptables и bind шеллы, шифрование RC4, а доступные инструкции и имена файлов были жестко прописаны в коде.
Устранение зависимости от необходимости подключения внешних библиотек позволило заметно повысить качество обфускации, а также сделать утилиту более скрытной. Исключение жестко прописанных команд также снизило вероятность обнаружения BPFDoor при помощи сигнатур.