GTPDOOR:モバイル事業者のネットワーク狙う高ステルス性のLinuxマルウェア
(情報源:BleepingComputer 、HaxRob)
モバイルキャリアネットワークを狙う高ステルス性の新たなLinuxバックドア「GTPDOOR」を、セキュリティ研究者HaxRob氏が発見。このマルウェアを用いる脅威アクターの狙いは、GRX(国際ローミングデータ中継)に隣接するSGSNやGGSN、P-GWといったシステムを標的とし、そこからモバイル事業者のネットワークへの初期アクセスを獲得することであるとみられるという。
GTPDOOR:高ステルス性の精巧なバックドアマルウェア
GTPDOORは電気通信ネットワーク用にカスタマイズされたLinuxベースの高度なバックドアマルウェアで、C2通信にGTP-Cプロトコルを利用する。これにより正規のネットワークトラフィックに紛れ込めるようになっているほか、すでに認可されていてセキュリティソリューションの監視を受けていないポートを利用できるようになっているという。また自身のプロセス名を変更して正規のシステムプロセスへなりすますことが可能である点も、同バックドアのステルス性を高めている。
GTPDOORのオペレーション
GTPDOORは、特定のエコー要求メッセージ(マジックパケット)をリッスンし、ホスト上で指定されたコマンドをウェイクアップおよび実行して、出力値を同マルウェアのオペレーターに送り返す。なお、マジックパケットのコンテンツはXOR暗号により暗号化されているために認可されたオペレーター以外はマルウェアを制御することができなくなっているという。
HaxRob氏はGTPDOORの2つのバージョンを発見しているが、これらはそれぞれ以下のオペレーションをサポートしているとされる。いずれも2023年にVirusTotalへアップロードされたもので、共に非常に古いディストリビューションであるRed Hat Linuxを狙うものだった。
<GTPDOOR バージョン1>
- C2通信に使用する新しい暗号化キーを設定する。
- system.confという名前のローカルファイルに任意のデータを書き込む。
- 任意のシェルコマンドを実行し、出力値を送り返す。
<GTPDOOR バージョン2>
- (上記3つのオペレーションに対応。加えて、)
- アクセス制御リスト(ACL)メカニズムを利用し、侵害されたホストとの通信を許可されたIPアドレスまたはサブネットを指定する。
- ACLリストを取得して、バックドアのネットワークパーミッションを動的に調整する。
- ACLをクリアしてマルウェアをリセットする。
アトリビューション
HaxRob氏によれば、GTPDOORは脅威グループ「LightBasin」(別称UNC1945)の保有するツールである可能性が高いという。LightBasinは、世界各地の電気通信事業者を標的にしていることで悪名を轟かせるインテリジェンス収集グループ。このアトリビューションが正しければ、GTPDOORには上記2つのバージョンに加え、Sun社のSolarisシステムを標的にする第3のバージョンが存在する可能性が高くなるという。
検出
HaxRob氏はブログ記事において以下のような検出手法を提唱しているほか、脅威ハンティング用のYARAルールも提供している。また、GSMAセキュリティガイドラインの遵守やGTPファイアウォールの導入といった防御戦略も同記事内で提示している。
- 「lsof」を使用してrawソケットをチェックし、「SOCK_RAW」または「raw」を探す。オープンなソケットをリスティングすることで、GTPDOORによる侵害を特定できる可能性がある。
- 「netstat -lp –raw」を使用して、異常なリスニング・ソケットを見つける。
- カーネルスレッドを模倣するプロセス(PPIDが異常)を特定する。
- GTPDOORが使用するミューテックス「/var/run/daemon.pid」を検索する。
- マルウェアによって作成された可能性のある、予期しない「system.conf」ファイルを探す。