新型恶意软件通过利用GTP实现C2通信

新发现的Linux恶意软件GTPDOOR

关键要点

GTPDOOR是一种新型Linux恶意软件，利用GPRS隧道协议建立命令与控制通信。该恶意软件主要针对位于GPRS漫游交换机附近的电信网络。一旦在漫游交换网络上获得持久性，它可以通过发送带有恶意载荷的GTPC回声请求消息与受感染的主机建立联系。研究者发现该恶意软件与名为LightBasin或UNC1945的威胁行为者存在关联，该行为者此前已针对电信行业进行一系列攻击。

安全研究人员表示，刚被发现的Linux恶意软件GTPDOOR利用GPRS隧道协议，在被攻击设备的命令和控制通信中发挥作用。根据The Hacker News的报道，这种恶意软件旨在部署在靠近GPRS漫游交换的电信网络中，这些交换负责传输从公用陆地移动网络到访问网络的漫游流量。

狂飙加速器下载

GTPDOOR可以让已经在漫游交换网络中获得持久性的攻击者，通过恶意载荷发送GTPC回声请求消息到受感染的主机，从而建立联系。这种方式不仅允许攻击者传输要在受感染设备上执行的命令，还能将执行结果返回远程主机。

此外，一位安全研究人员发现两个GTPDOOR的样本从中国和意大利上传到了VirusTotal，他认为该后门与正在追踪的威胁行为者LightBasin或UNC1945有关，而LightBasin此前曾参与针对电信行业的大规模攻击。

信息项描述恶意软件名称GTPDOOR目标电信行业传播方式GPRS隧道协议威胁行为者LightBasin / UNC1945发现地点中国和意大利

通过这些发现，GTPDOOR恶意软件再次提醒着我们面对的网络安全威胁的复杂性与范围，尤其是在电信领域。研究者们正密切关注这一情况，以帮助企业增强防御能力。