عاد حصان طروادة البالغ من العمر 20 عامًا إلى الظهور مؤخرًا بمتغيرات جديدة تستهدف Linux وانتحال صفة مجال مستضاف موثوق به لتجنب اكتشافه.
اكتشف باحثون من شركة Palo Alto Networks إصدارًا جديدًا لنظام التشغيل Linux البرامج الضارة Bifrost (المعروفة أيضًا باسم Bifrose). يستخدم ممارسة خادعة تعرف باسم typosquatting لتقليد مجال VMware الشرعي، والذي يسمح للبرامج الضارة بالتحليق تحت الرادار. بيفروست هو حصان طروادة (RAT) يمكن الوصول إليه عن بعد، وهو نشط منذ عام 2004 ويجمع معلومات حساسة، مثل اسم المضيف وعنوان IP، من نظام مخترق.
كان هناك ارتفاع مثير للقلق في متغيرات Bifrost Linux خلال الأشهر القليلة الماضية: اكتشفت شركة Palo Alto Networks أكثر من 100 حالة من عينات Bifrost، الأمر الذي "يثير المخاوف بين خبراء الأمن والمنظمات"، كما كتب الباحثان أنمول موريا وسيدارث شارما في تقرير الشركة. النتائج المنشورة حديثا.
علاوة على ذلك، هناك أدلة على أن المهاجمين السيبرانيين يهدفون إلى توسيع سطح هجوم Bifrost بشكل أكبر، باستخدام عنوان IP ضار مرتبط بمتغير Linux الذي يستضيف إصدار ARM من Bifrost أيضًا.
وأوضح الباحثون: "من خلال توفير نسخة ARM من البرامج الضارة، يمكن للمهاجمين توسيع نطاق سيطرتهم، مما يؤدي إلى اختراق الأجهزة التي قد لا تكون متوافقة مع البرامج الضارة المستندة إلى x86". "نظرًا لأن الأجهزة المستندة إلى ARM أصبحت أكثر شيوعًا، فمن المرجح أن يغير مجرمو الإنترنت تكتيكاتهم لتشمل البرامج الضارة المستندة إلى ARM، مما يجعل هجماتهم أقوى وأكثر قدرة على الوصول إلى المزيد من الأهداف."
التوزيع والعدوى
وأشار الباحثون إلى أن المهاجمين يوزعون عادةً Bifrost من خلال مرفقات البريد الإلكتروني أو مواقع الويب الضارة، على الرغم من أنهم لم يشرحوا بالتفصيل ناقل الهجوم الأولي لمتغيرات Linux التي ظهرت حديثًا.
لاحظ باحثو بالو ألتو عينة من Bifrost مستضافة على خادم في النطاق 45.91.82[.]127. بمجرد تثبيته على كمبيوتر الضحية، يصل Bifrost إلى مجال القيادة والتحكم (C2) باسم مخادع، download.vmfare[.]com، والذي يبدو مشابهًا لمجال VMware شرعي. تقوم البرامج الضارة بجمع بيانات المستخدم لإرسالها مرة أخرى إلى هذا الخادم، باستخدام تشفير RC4 لتشفير البيانات.
وكتب الباحثون: "غالبًا ما تتبنى البرامج الضارة أسماء نطاقات خادعة مثل C2 بدلاً من عناوين IP لتجنب اكتشافها وتجعل من الصعب على الباحثين تتبع مصدر النشاط الضار".
ولاحظوا أيضًا أن البرامج الضارة تحاول الاتصال بمحلل DNS العام في تايوان بعنوان IP 168.95.1[.]1. تستخدم البرامج الضارة وحدة الحل لبدء استعلام DNS لحل المجال download.vmfare[.]com، وهي عملية ضرورية لضمان قدرة Bifrost على الاتصال بنجاح بالوجهة المقصودة، وفقًا للباحثين.
حماية البيانات الحساسة
على الرغم من أنه قد يكون قديمًا عندما يتعلق الأمر بالبرامج الضارة، إلا أن Bifrost RAT يظل يمثل تهديدًا كبيرًا ومتطورًا للأفراد والمؤسسات على حدٍ سواء، لا سيما مع اعتماد متغيرات جديدة typosquatting وقال الباحثون للتهرب من الكشف.
وكتبوا: "إن تتبع البرامج الضارة ومواجهتها مثل Bifrost أمر بالغ الأهمية لحماية البيانات الحساسة والحفاظ على سلامة أنظمة الكمبيوتر". "وهذا يساعد أيضًا في تقليل احتمالية الوصول غير المصرح به والأضرار اللاحقة."
في منشورهم، شارك الباحثون قائمة بمؤشرات الاختراق، بما في ذلك عينات البرامج الضارة والمجال وعناوين IP المرتبطة بأحدث إصدارات Bifrost Linux. وينصح الباحثون الشركات باستخدام منتجات جدار الحماية من الجيل التالي و خدمات أمنية خاصة بالسحابة — بما في ذلك تصفية عناوين URL، وتطبيقات منع البرامج الضارة، والرؤية والتحليلات — لتأمين البيئات السحابية.
وقال الباحثون في نهاية المطاف، إن عملية الإصابة تسمح للبرامج الضارة بتجاوز الإجراءات الأمنية والتهرب من الكشف، وفي نهاية المطاف تعريض الأنظمة المستهدفة للخطر.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :لديها
- :يكون
- :ليس
- 100
- 7
- 91
- a
- ماهرون
- الوصول
- وفقا
- نشط
- نشاط
- العنوان
- عناوين
- اعتماد
- تقديم المشورة لك
- هدف
- يعرف أيضا باسم
- سواء
- يسمح
- أيضا
- من بين
- an
- تحليلات
- و
- يبدو
- التطبيقات
- ARM
- AS
- أسوشيتد
- At
- مهاجمة
- الهجمات
- الى الخلف
- BE
- أصبح
- كان
- بيفروست
- by
- تجنب
- CAN
- تغيير
- سحابة
- يأتي
- مشترك
- حول الشركة
- متوافق
- حل وسط
- تسوية
- مساومة
- الكمبيوتر
- اهتمامات
- التواصل
- التواصل
- حاسم
- مجرمو الإنترنت
- البيانات
- افضل الرحلات السياحية
- الكشف عن
- كشف
- الأجهزة
- ديدن
- صعبة
- نشر
- توزيع
- DNS
- نطاق
- أسماء المجال
- بإمكانك تحميله
- أثناء
- توضيح
- البريد الإلكتروني
- تشفير
- التشفير
- ضمان
- الشركات
- البيئات
- الهروب
- حتى
- دليل
- المتطورة
- وسع
- خبرائنا
- شرح
- قليل
- تصفية
- النتائج
- جدار الحماية
- في حالة
- تبدأ من
- إضافي
- يفهم، يمسك، يقبض
- ضرر
- يساعد
- استضافت
- استضافة
- HTTPS
- انتحال
- in
- تتضمن
- بما فيه
- من مؤشرات
- الأفراد
- معلومات
- في البداية
- بدء
- تثبيت
- بدلًا من ذلك
- سلامة
- معد
- IP
- عنوان IP
- عناوين الانترنت بروتوكول
- IT
- انها
- معروف
- آخر
- شرعي
- مثل
- أرجحية
- على الأرجح
- لينكس
- قائمة
- جعل
- القيام ب
- خبيث
- البرمجيات الخبيثة
- مايو..
- الإجراءات
- تقليل
- المقبلة.
- الأكثر من ذلك
- الاسم
- أسماء
- الشبكات
- جديد
- حديثا
- الجيل القادم
- وأشار
- of
- غالبا
- on
- مرة
- or
- المنظمات
- خارج
- بالو ألتو
- خاصة
- الماضي
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- منشور
- ممارسة
- الحفاظ على
- عملية المعالجة
- المنتجات
- توفير
- جمهور
- نشرت
- سؤال
- رادار
- يثير
- RAT
- الوصول
- يصل
- مؤخرا
- بقايا
- عن بعد
- الوصول عن بعد
- الباحثين
- حل
- s
- حماية
- قال
- عينة
- تأمين
- أمن
- التدابير الأمنية
- إرسال
- حساس
- الخادم
- شاركت
- شارما
- هام
- مماثل
- منذ
- مصدر
- مسمار
- أقوى
- لاحق
- بنجاح
- هذه
- المساحة
- نظام
- أنظمة
- التكتيكات
- الهدف
- المستهدفة
- الأهداف
- من
- أن
- •
- المصدر
- من مشاركة
- هناك.
- هم
- على الرغم من؟
- التهديد
- عبر
- إلى
- أثر
- تتبع الشحنة
- حصان طروادة
- افضل
- يحاول
- عادة
- في النهاية
- غير مصرح
- مع
- URL
- تستخدم
- مستخدم
- يستخدم
- استخدام
- متنوع
- الإصدار
- بواسطة
- ضحية
- رؤية
- في إم وير
- المواقع
- حسن
- متى
- التي
- سوف
- مع
- مقلق
- كتب
- زفيرنت