GTPDOOR:黑客通过国际流量监视用户

阅读量10490

发布时间 : 2024-03-04 11:23:38




研究人员宣布了一种新的威胁 – GTPDOOR 恶意软件 ,针对电信网络。这种聪明的 Linux 木马 利用 GPRS 协议中的漏洞来秘密控制受感染的设备。据专家介绍,该恶意程序与著名的黑客组织LightBasin有关,该组织此前曾攻击过电信行业的公司。

GTPDOOR 允许攻击者秘密窃取敏感的订户数据和呼叫元数据。该木马的独特之处在于使用GTP协议与命令和控制服务器通信并控制受感染的设备。

GPRS漫游允许用户在国外旅行时使用移动互联网。该服务的实现得益于GRX交换中心,通过GTP在不同运营商的漫游网络之间传输流量。协议漏洞对用户和提供商都造成损害。

网络安全专家 haxrob 发现了两个从中国和意大利上传到 VirusTotal 的 GTPDOOR 实例。他还表示,该后门很可能与 LightBasin 组织有关。

CrowdStrike 此前曾报道过该团伙的活动。攻击者利用GTP协议和GPRS漫游中的缺陷来监视和窃取用户数据。

一旦启动,GTPDOOR 就会伪装成内核调用的系统日志进程。它阻止来自其他进程的信号并打开原始套接字以通过 UDP 接收网络数据包。

GTPDOOR 允许已获得 GRX 网络访问权限的攻击者通过发送带有恶意负载的特殊 GTP-C Echo Request 数据包来联系受感染的主机。这些数据包充当传输执行命令并将结果返回到远程主机的通道。

GTPDOOR 可以悄悄地收集有关受感染系统的信息。为此,特洛伊木马会响应来自外部网络的特殊请求。黑客将 TCP 数据包发送到受害者计算机上的不同端口并分析响应。根据空响应,他们了解哪些端口打开,哪些端口关闭。

因此,攻击者可以识别活动的网络服务和受感染计算机上的服务。这使他们能够在进一步攻击之前获得有价值的情报。据专家介绍,GTPDOOR的目标是直接连接到GPRS网络核心的电信运营商服务器。这些关键系统的感染可能导致大规模泄漏和操作故障。


分享到:微信
+15赞
收藏
ISC6196381205
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66