متغيرات Linux الخاصة بـ Bifrost Trojan Evade Detection عبر Typosquatting

عاد حصان طروادة البالغ من العمر 20 عامًا إلى الظهور مؤخرًا بمتغيرات جديدة تستهدف Linux وانتحال صفة مجال مستضاف موثوق به لتجنب اكتشافه.

اكتشف باحثون من شركة Palo Alto Networks إصدارًا جديدًا لنظام التشغيل Linux البرامج الضارة Bifrost (المعروفة أيضًا باسم Bifrose). يستخدم ممارسة خادعة تعرف باسم typosquatting لتقليد مجال VMware الشرعي، والذي يسمح للبرامج الضارة بالتحليق تحت الرادار. بيفروست هو حصان طروادة (RAT) يمكن الوصول إليه عن بعد، وهو نشط منذ عام 2004 ويجمع معلومات حساسة، مثل اسم المضيف وعنوان IP، من نظام مخترق.

كان هناك ارتفاع مثير للقلق في متغيرات Bifrost Linux خلال الأشهر القليلة الماضية: اكتشفت شركة Palo Alto Networks أكثر من 100 حالة من عينات Bifrost، الأمر الذي "يثير المخاوف بين خبراء الأمن والمنظمات"، كما كتب الباحثان أنمول موريا وسيدارث شارما في تقرير الشركة. النتائج المنشورة حديثا.

علاوة على ذلك، هناك أدلة على أن المهاجمين السيبرانيين يهدفون إلى توسيع سطح هجوم Bifrost بشكل أكبر، باستخدام عنوان IP ضار مرتبط بمتغير Linux الذي يستضيف إصدار ARM من Bifrost أيضًا.

وأوضح الباحثون: "من خلال توفير نسخة ARM من البرامج الضارة، يمكن للمهاجمين توسيع نطاق سيطرتهم، مما يؤدي إلى اختراق الأجهزة التي قد لا تكون متوافقة مع البرامج الضارة المستندة إلى x86". "نظرًا لأن الأجهزة المستندة إلى ARM أصبحت أكثر شيوعًا، فمن المرجح أن يغير مجرمو الإنترنت تكتيكاتهم لتشمل البرامج الضارة المستندة إلى ARM، مما يجعل هجماتهم أقوى وأكثر قدرة على الوصول إلى المزيد من الأهداف."

التوزيع والعدوى

وأشار الباحثون إلى أن المهاجمين يوزعون عادةً Bifrost من خلال مرفقات البريد الإلكتروني أو مواقع الويب الضارة، على الرغم من أنهم لم يشرحوا بالتفصيل ناقل الهجوم الأولي لمتغيرات Linux التي ظهرت حديثًا.

لاحظ باحثو بالو ألتو عينة من Bifrost مستضافة على خادم في النطاق 45.91.82[.]127. بمجرد تثبيته على كمبيوتر الضحية، يصل Bifrost إلى مجال القيادة والتحكم (C2) باسم مخادع، download.vmfare[.]com، والذي يبدو مشابهًا لمجال VMware شرعي. تقوم البرامج الضارة بجمع بيانات المستخدم لإرسالها مرة أخرى إلى هذا الخادم، باستخدام تشفير RC4 لتشفير البيانات.

وكتب الباحثون: "غالبًا ما تتبنى البرامج الضارة أسماء نطاقات خادعة مثل C2 بدلاً من عناوين IP لتجنب اكتشافها وتجعل من الصعب على الباحثين تتبع مصدر النشاط الضار".

ولاحظوا أيضًا أن البرامج الضارة تحاول الاتصال بمحلل DNS العام في تايوان بعنوان IP 168.95.1[.]1. تستخدم البرامج الضارة وحدة الحل لبدء استعلام DNS لحل المجال download.vmfare[.]com، وهي عملية ضرورية لضمان قدرة Bifrost على الاتصال بنجاح بالوجهة المقصودة، وفقًا للباحثين.

حماية البيانات الحساسة

على الرغم من أنه قد يكون قديمًا عندما يتعلق الأمر بالبرامج الضارة، إلا أن Bifrost RAT يظل يمثل تهديدًا كبيرًا ومتطورًا للأفراد والمؤسسات على حدٍ سواء، لا سيما مع اعتماد متغيرات جديدة typosquatting وقال الباحثون للتهرب من الكشف.

وكتبوا: "إن تتبع البرامج الضارة ومواجهتها مثل Bifrost أمر بالغ الأهمية لحماية البيانات الحساسة والحفاظ على سلامة أنظمة الكمبيوتر". "وهذا يساعد أيضًا في تقليل احتمالية الوصول غير المصرح به والأضرار اللاحقة."

في منشورهم، شارك الباحثون قائمة بمؤشرات الاختراق، بما في ذلك عينات البرامج الضارة والمجال وعناوين IP المرتبطة بأحدث إصدارات Bifrost Linux. وينصح الباحثون الشركات باستخدام منتجات جدار الحماية من الجيل التالي و خدمات أمنية خاصة بالسحابة — بما في ذلك تصفية عناوين URL، وتطبيقات منع البرامج الضارة، والرؤية والتحليلات — لتأمين البيئات السحابية.

وقال الباحثون في نهاية المطاف، إن عملية الإصابة تسمح للبرامج الضارة بتجاوز الإجراءات الأمنية والتهرب من الكشف، وفي نهاية المطاف تعريض الأنظمة المستهدفة للخطر.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-