导读

新一波网络间谍攻击使 BPFDoor 恶意软件成为人们关注的焦点，成为一种破坏网络的隐秘而危险的工具。

趋势科技安全专家称，BPFDoor 是一个APT组织的后门。

该恶意软件利用反向shell和复杂的伯克利包过滤（BPF）技术渗透和控制亚洲和中东地区的电信、金融和零售行业的系统。

BPFDoor 恶意软件

BPFDoor 是一个被检测为 Backdoor.Linux.BPFDOOR 的后门，由于依赖于内核级数据包过滤技术 BPF，因此功能非常强大。

虽然其核心功能类似于 rootkit，但 BPFDoor 的独特之处在于它能够不被防火墙检测到并逃避传统的网络扫描。

该恶意软件在收到“魔法序列”（嵌入在网络数据包中的特定字节字符串）时激活，从而触发目标机器上的预定义操作。

BPFDoor 的主要隐身功能包括更改进程名称、避免端口监听和绕过安全日志。

这使得它非常适合长期间谍活动，允许攻击者深深嵌入网络而不引起怀疑。

                反向shell技术和横向技术

BPFDoor 令人担忧的功能之一是使用反向 shell 来扩大对受感染系统的控制。

反向 Shell 允许攻击者通过反转典型的客户端-服务器通信模型，在受感染的服务器上远程运行命令。通过这种模式，攻击者可以跨网络横向移动，访问敏感数据或控制其他系统。

威胁行为者使用自定义控制器，通过三种协议（TCP、UDP 和 ICMP）部署反向 Shell。一旦激活，恶意软件就会绕过标准安全防御措施与攻击者的系统进行通信。

例如，控制器命令可以要求 BPFDoor 在受感染的主机和攻击者的机器之间打开加密的反向 shell 会话，从而实现无缝远程访问。

该控制器还允许攻击者修改密码、魔法序列和目标端口等参数，增强针对不同目标的定制。

这种多功能性使得 Earth Bluecrow 能够针对不同的行业和地区调整其攻击方式。

技术报告：

https://www.trendmicro.com/en_us/research/25/d/bpfdoor-hidden-controller.html

新闻链接：

https://gbhackers.com/bpfdoor-malware/

[出自:jiwo.org]

安全资讯速递

APT事件

黑客利用 SNOWLIGHT 恶意软件和 VShell 工具攻击 Linux 系统

https://thehackernews.com/2025/04/chinese-hackers-target-linux-systems.html

LinkedIn 上的 PDF 诱饵会将用户引导至恶意 GitHub 存储库

https://www.infosecurity-magazine.com/news/north-korea-hackers-linkedin/

午夜暴雪（Midnight Blizzard）在针对欧洲外交实体的网络钓鱼中部署新 GrapeLoader 恶意软件

https://www.bleepingcomputer.com/news/security/midnight-blizzard-deploys-new-grapeloader-malware-in-embassy-phishing/

BPFDoor 恶意软件利用反向 Shell 扩展对受感染网络的控制

https://gbhackers.com/bpfdoor-malware/

一般威胁事件

保险公司 Lemonade 称 API 故障导致部分驾照号码泄露

https://www.securityweek.com/insurance-firm-lemonade-says-api-glitch-exposed-some-drivers-license-numbers/

Conduent 称网络攻击导致客户姓名和社会安全号码被盗

https://www.securityweek.com/conduent-says-names-social-security-numbers-stolen-in-cyberattack/

假冒 PDFCandy 文件转换器网站传播恶意软件

https://hackread.com/fake-pdfcandy-websites-spread-malware/

英国软件公司泄露了1.1TB的医护人员记录

https://hackread.com/uk-software-firm-exposed-healthcare-worker-records/

黑客利用人工智能制作的音频冒充美国税务人员发起系列诈骗活动

https://therecord.media/hackers-use-ai-audio-to-impersonate-irs-tax-scams

漏洞事件

Gladinet 关键漏洞（CVE-2025-30406）的野外利用情况

https://www.securityweek.com/huntress-documents-in-the-wild-exploitation-of-critical-gladinet-vulnerabilities/

Apache Roller 中存在一个严重漏洞，即使密码更改后仍可保留未经授权的访问

https://securityaffairs.com/176577/security/critical-apache-roller-flaw-allows-to-retain-unauthorized-access-even-after-a-password-change.html

Fortinet 零日漏洞可能导致任意代码执行

https://www.darkreading.com/vulnerabilities-threats/fortinet-zero-day-arbitrary-code-execution

Rapid7 在 Ivanti VPN 设备静默补丁失败后揭露 RCE 利用路径

https://www.securityweek.com/rapid7-reveals-rce-path-in-ivanti-vpn-appliance-after-silent-patch-debacle/

谷歌修复了存在 23 年之久的 Chrome 漏洞

https://www.pcmag.com/news/google-chrome-fixes-20-year-old-flaw-that-could-leak-your-browser-history

69% 的严重漏洞和高危漏洞未被企业修复

https://cybersecuritynews.com/critical-high-severity-vulnerabilities-not-patched/

WordPress 插件重大漏洞在 4 小时内被利用

https://www.infosecurity-magazine.com/news/wordpress-plugin-flaw-exploited-4/