Ein 20 Jahre alter Trojaner ist kürzlich mit neuen Varianten wieder aufgetaucht, die auf Linux abzielen und sich als vertrauenswürdige gehostete Domäne ausgeben, um der Entdeckung zu entgehen.
Forscher von Palo Alto Networks entdeckten eine neue Linux-Variante davon Bifrost-Malware (auch bekannt als Bifrose). das eine betrügerische Praxis verwendet, die als bekannt ist Typosquatting um eine legitime VMware-Domäne nachzuahmen, wodurch die Malware unbemerkt bleiben kann. Bifrost ist ein Remote-Access-Trojaner (RAT), der seit 2004 aktiv ist und vertrauliche Informationen wie Hostnamen und IP-Adresse von einem kompromittierten System sammelt.
In den letzten Monaten gab es einen besorgniserregenden Anstieg der Bifrost-Linux-Varianten: Palo Alto Networks hat mehr als 100 Instanzen von Bifrost-Samples entdeckt, was „Sicherheitsexperten und Organisationen beunruhigt“, schrieben die Forscher Anmol Murya und Siddharth Sharma im Bericht des Unternehmens neu veröffentlichte Erkenntnisse.
Darüber hinaus gebe es Hinweise darauf, dass Cyberangreifer darauf abzielen, die Angriffsfläche von Bifrost noch weiter zu vergrößern, indem sie eine bösartige IP-Adresse verwenden, die mit einer Linux-Variante verknüpft ist, auf der auch eine ARM-Version von Bifrost gehostet wird, sagten sie.
„Durch die Bereitstellung einer ARM-Version der Malware können Angreifer ihre Reichweite erweitern und Geräte kompromittieren, die möglicherweise nicht mit x86-basierter Malware kompatibel sind“, erklärten die Forscher. „Da ARM-basierte Geräte immer häufiger vorkommen, werden Cyberkriminelle wahrscheinlich ihre Taktik ändern und ARM-basierte Malware einbeziehen, wodurch ihre Angriffe stärker werden und mehr Ziele erreichen können.“
Verbreitung und Infektion
Angreifer verbreiten Bifrost typischerweise über E-Mail-Anhänge oder bösartige Websites, stellten die Forscher fest, gingen jedoch nicht näher auf den ursprünglichen Angriffsvektor für die neu aufgetauchten Linux-Varianten ein.
Forscher aus Palo Alto beobachteten eine Stichprobe von Bifrost, die auf einem Server unter der Domäne 45.91.82[.]127 gehostet wurde. Sobald Bifrost auf dem Computer eines Opfers installiert ist, greift es auf eine Command-and-Control-Domäne (C2) mit dem irreführenden Namen download.vmfare[.]com zu, der einer legitimen VMware-Domäne ähnelt. Die Malware sammelt Benutzerdaten, um sie an diesen Server zurückzusenden, und verwendet dabei RC4-Verschlüsselung, um die Daten zu verschlüsseln.
„Die Schadsoftware verwendet häufig betrügerische Domänennamen wie C2 anstelle von IP-Adressen, um der Erkennung zu entgehen und es den Forschern zu erschweren, die Quelle der bösartigen Aktivität aufzuspüren“, schreiben die Forscher.
Sie beobachteten auch, dass die Malware versuchte, Kontakt zu einem in Taiwan ansässigen öffentlichen DNS-Resolver mit der IP-Adresse 168.95.1[.]1 aufzunehmen. Die Malware verwendet den Resolver, um eine DNS-Abfrage zur Auflösung der Domäne download.vmfare[.]com zu initiieren, ein Prozess, der laut den Forschern entscheidend ist, um sicherzustellen, dass Bifrost erfolgreich eine Verbindung zu seinem beabsichtigten Ziel herstellen kann.
Schutz sensibler Daten
Auch wenn es sich bei der Bifrost-RAT um ein altgedientes Schadprogramm handelt, bleibt sie dennoch eine bedeutende und sich weiterentwickelnde Bedrohung für Einzelpersonen und Unternehmen, insbesondere durch die Einführung neuer Varianten Typosquatting um der Entdeckung zu entgehen, sagten die Forscher.
„Die Verfolgung und Bekämpfung von Malware wie Bifrost ist für den Schutz sensibler Daten und die Wahrung der Integrität von Computersystemen von entscheidender Bedeutung“, schrieben sie. „Dies trägt auch dazu bei, die Wahrscheinlichkeit eines unbefugten Zugriffs und daraus resultierender Schäden zu minimieren.“
In ihrem Beitrag veröffentlichten die Forscher eine Liste von Indikatoren für eine Kompromittierung, darunter Malware-Beispiele sowie Domänen- und IP-Adressen im Zusammenhang mit den neuesten Bifrost-Linux-Varianten. Die Forscher raten Unternehmen, Firewall-Produkte der nächsten Generation zu verwenden und Cloud-spezifische Sicherheitsdienste – einschließlich URL-Filterung, Malware-Präventionsanwendungen sowie Sichtbarkeit und Analyse – zur Sicherung von Cloud-Umgebungen.
Letztendlich ermöglicht der Infektionsprozess der Malware, Sicherheitsmaßnahmen zu umgehen, sich der Erkennung zu entziehen und letztendlich die Zielsysteme zu kompromittieren, so die Forscher.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :hast
- :Ist
- :nicht
- 100
- 7
- 91
- a
- Fähig
- Zugang
- Nach
- aktiv
- Aktivität
- Adresse
- Adressen
- Die Annahme
- beraten
- Ziel
- Auch bekannt als:
- gleich
- erlaubt
- ebenfalls
- unter
- an
- Analytik
- und
- erscheint
- Anwendungen
- ARM
- AS
- damit verbundenen
- At
- Attacke
- Anschläge
- Zurück
- BE
- werden
- war
- Bifrost
- by
- umgehen
- CAN
- Übernehmen
- Cloud
- kommt
- gemeinsam
- Unternehmen
- kompatibel
- Kompromiss
- Kompromittiert
- kompromittierend
- Computer
- Bedenken
- Vernetz Dich
- Kontakt
- wichtig
- Cyber-Kriminelle
- technische Daten
- Reiseziel
- erkannt
- Entdeckung
- Geräte
- didn
- schwer
- verteilen
- Verteilung
- dns
- Domain
- DOMAIN NAMEN
- herunterladen
- im
- Erarbeiten
- verschlüsseln
- Verschlüsselung
- gewährleisten
- Unternehmen
- Umgebungen
- Flucht
- Sogar
- Beweis
- sich entwickelnden
- Erweitern Sie die Funktionalität der
- Experten
- erklärt
- wenige
- Filterung
- Befund
- Firewall
- Aussichten für
- für
- weiter
- Griff
- schaden
- hilft
- gehostet
- Hosting
- HTTPS
- imitieren
- in
- das
- Einschließlich
- Anzeigen
- Einzelpersonen
- Information
- Anfangs-
- initiieren
- installiert
- beantragen müssen
- Integrität
- beabsichtigt
- IP
- IP Address
- IP-Adressen
- IT
- SEINE
- bekannt
- neueste
- legitim
- Gefällt mir
- Wahrscheinlichkeit
- wahrscheinlich
- linux
- Liste
- um
- Making
- böswilligen
- Malware
- Kann..
- Maßnahmen
- minimieren
- Monat
- mehr
- Name
- Namen
- Netzwerke
- Neu
- neu
- nächste Generation
- bekannt
- of
- vorgenommen,
- on
- einmal
- or
- Organisationen
- Palo Alto
- besonders
- passt
- Plato
- Datenintelligenz von Plato
- PlatoData
- Post
- Praxis
- Erhaltung
- Prozessdefinierung
- Produkte
- Bereitstellung
- Öffentlichkeit
- veröffentlicht
- query
- Radar
- wirft
- RAT
- erreichen
- Erreicht
- kürzlich
- bleibt bestehen
- entfernt
- Fernzugriff
- Forscher
- lösen
- s
- Sicherung
- Said
- Sample
- Verbindung
- Sicherheitdienst
- Sicherheitsmaßnahmen
- senden
- empfindlich
- Server
- von Locals geführtes
- Sharma
- signifikant
- ähnlich
- da
- Quelle
- Spitze
- stärker
- Folge
- Erfolgreich
- so
- Oberfläche
- System
- Systeme und Techniken
- Taktik
- Target
- gezielt
- Ziele
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Die Quelle
- ihr
- Dort.
- vom Nutzer definierten
- fehlen uns die Worte.
- obwohl?
- Bedrohung
- Durch
- zu
- Spur
- Tracking
- Trojan
- vertraut
- Versuch
- typisch
- Letztlich
- unbefugt
- für
- URL
- -
- Mitglied
- verwendet
- Verwendung von
- Variante
- Version
- Opfer
- Sichtbarkeit
- VMware
- Webseiten
- GUT
- wann
- welche
- werden wir
- mit
- besorgniserregend
- schrieb
- Zephyrnet
