Linux Παραλλαγές του Bifrost Trojan Evade Detection μέσω Typosquatting

Ένας 20χρονος Trojan επανεμφανίστηκε πρόσφατα με νέες παραλλαγές που στοχεύουν το Linux και υποδύονται έναν αξιόπιστο φιλοξενούμενο τομέα για να αποφύγουν τον εντοπισμό.

Ερευνητές από το Palo Alto Networks εντόπισαν μια νέα παραλλαγή Linux του Κακόβουλο λογισμικό Bifrost (γνωστό και ως Bifrose). που χρησιμοποιεί μια παραπλανητική πρακτική γνωστή ως δακτυλογράφηση να μιμηθεί έναν νόμιμο τομέα VMware, ο οποίος επιτρέπει στο κακόβουλο λογισμικό να πετάει κάτω από το ραντάρ. Bifrost είναι ένας Trojan απομακρυσμένης πρόσβασης (RAT) που είναι ενεργός από το 2004 και συλλέγει ευαίσθητες πληροφορίες, όπως όνομα κεντρικού υπολογιστή και διεύθυνση IP, από ένα παραβιασμένο σύστημα.

Υπήρξε μια ανησυχητική άνοδος στις παραλλαγές του Bifrost Linux τους τελευταίους μήνες: Η Palo Alto Networks εντόπισε περισσότερες από 100 περιπτώσεις δειγμάτων Bifrost, γεγονός που «εγείρει ανησυχίες μεταξύ των ειδικών σε θέματα ασφάλειας και των οργανισμών», έγραψαν οι ερευνητές Anmol Murya και Siddharth Sharma στο έγγραφο της εταιρείας. πρόσφατα δημοσιευμένα ευρήματα.

Επιπλέον, υπάρχουν ενδείξεις ότι οι κυβερνοεπιθέσεις στοχεύουν να επεκτείνουν ακόμη περισσότερο την επιφάνεια επίθεσης του Bifrost, χρησιμοποιώντας μια κακόβουλη διεύθυνση IP που σχετίζεται με μια παραλλαγή Linux που φιλοξενεί επίσης μια έκδοση ARM του Bifrost, είπαν.

«Παρέχοντας μια έκδοση ARM του κακόβουλου λογισμικού, οι εισβολείς μπορούν να επεκτείνουν την αντίληψή τους, θέτοντας σε κίνδυνο συσκευές που μπορεί να μην είναι συμβατές με κακόβουλο λογισμικό που βασίζεται σε x86», εξήγησαν οι ερευνητές. «Καθώς οι συσκευές που βασίζονται σε ARM γίνονται πιο κοινές, οι εγκληματίες του κυβερνοχώρου πιθανότατα θα αλλάξουν τις τακτικές τους για να συμπεριλάβουν κακόβουλο λογισμικό που βασίζεται σε ARM, κάνοντας τις επιθέσεις τους ισχυρότερες και ικανές να φτάσουν περισσότερους στόχους».

Κατανομή και μόλυνση

Οι επιτιθέμενοι συνήθως διανέμουν το Bifrost μέσω συνημμένων email ή κακόβουλων ιστότοπων, σημείωσαν οι ερευνητές, αν και δεν αναφέρθηκαν λεπτομερώς στον αρχικό φορέα επίθεσης για τις παραλλαγές Linux που εμφανίστηκαν πρόσφατα.

Οι ερευνητές του Palo Alto παρατήρησαν ένα δείγμα Bifrost που φιλοξενήθηκε σε έναν διακομιστή στον τομέα 45.91.82[.]127. Μόλις εγκατασταθεί στον υπολογιστή ενός θύματος, το Bifrost προσεγγίζει έναν τομέα εντολών και ελέγχου (C2) με ένα παραπλανητικό όνομα, download.vmfare[.]com, το οποίο φαίνεται παρόμοιο με έναν νόμιμο τομέα VMware. Το κακόβουλο λογισμικό συλλέγει δεδομένα χρήστη για να τα στείλει πίσω σε αυτόν τον διακομιστή, χρησιμοποιώντας κρυπτογράφηση RC4 για την κρυπτογράφηση των δεδομένων.

«Το κακόβουλο λογισμικό υιοθετεί συχνά τέτοια παραπλανητικά ονόματα τομέα όπως το C2 αντί για διευθύνσεις IP για να αποφύγει τον εντοπισμό και να κάνει πιο δύσκολο για τους ερευνητές να εντοπίσουν την πηγή της κακόβουλης δραστηριότητας», έγραψαν οι ερευνητές.

Παρατήρησαν επίσης το κακόβουλο λογισμικό που προσπαθούσε να επικοινωνήσει με έναν δημόσιο αναλυτή DNS με έδρα την Ταϊβάν με τη διεύθυνση IP 168.95.1[.]1. Το κακόβουλο λογισμικό χρησιμοποιεί τον επιλύτη για να ξεκινήσει ένα ερώτημα DNS για την επίλυση του τομέα download.vmfare[.]com, μια διαδικασία που είναι ζωτικής σημασίας για να διασφαλιστεί ότι το Bifrost μπορεί να συνδεθεί με επιτυχία στον προορισμό του, σύμφωνα με τους ερευνητές.

Προστασία ευαίσθητων δεδομένων

Αν και μπορεί να είναι παλιό όταν πρόκειται για κακόβουλο λογισμικό, το Bifrost RAT παραμένει μια σημαντική και εξελισσόμενη απειλή τόσο για άτομα όσο και για οργανισμούς, ιδιαίτερα με τις νέες παραλλαγές που υιοθετούν δακτυλογράφηση για να αποφύγουν τον εντοπισμό, είπαν οι ερευνητές.

«Η παρακολούθηση και η αντιμετώπιση κακόβουλου λογισμικού όπως το Bifrost είναι ζωτικής σημασίας για τη διαφύλαξη ευαίσθητων δεδομένων και τη διατήρηση της ακεραιότητας των συστημάτων υπολογιστών», έγραψαν. "Αυτό βοηθά επίσης στην ελαχιστοποίηση της πιθανότητας μη εξουσιοδοτημένης πρόσβασης και επακόλουθης βλάβης."

Στην ανάρτησή τους, οι ερευνητές μοιράστηκαν μια λίστα δεικτών συμβιβασμού, συμπεριλαμβανομένων δειγμάτων κακόβουλου λογισμικού και διευθύνσεων τομέα και IP που σχετίζονται με τις πιο πρόσφατες παραλλαγές του Bifrost Linux. Οι ερευνητές συμβουλεύουν τις επιχειρήσεις να χρησιμοποιούν προϊόντα τείχους προστασίας επόμενης γενιάς και υπηρεσίες ασφαλείας ειδικά για το cloud — συμπεριλαμβανομένου του φιλτραρίσματος διευθύνσεων URL, των εφαρμογών πρόληψης κακόβουλου λογισμικού και της ορατότητας και των αναλυτικών στοιχείων — για ασφαλή περιβάλλοντα cloud.

Τελικά, η διαδικασία μόλυνσης επιτρέπει στο κακόβουλο λογισμικό να παρακάμψει τα μέτρα ασφαλείας και να αποφύγει τον εντοπισμό και τελικά να θέσει σε κίνδυνο στοχευμένα συστήματα, είπαν οι ερευνητές.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-