انواع لینوکس شناسایی فرار از تروجان Bifrost از طریق Typosquatting

یک تروجان 20 ساله اخیراً با انواع جدیدی ظاهر شد که لینوکس را هدف قرار می دهد و برای فرار از شناسایی یک دامنه میزبان قابل اعتماد جعل هویت می کند.

محققان از Palo Alto Networks نوع جدیدی از لینوکس را مشاهده کردند بدافزار Bifrost (معروف به Bifrose). که از یک عمل فریبنده به نام استفاده می کند جعلی برای تقلید از یک دامنه قانونی VMware، که به بدافزار اجازه می دهد تا زیر رادار پرواز کند. بیفروست یک تروجان دسترسی از راه دور (RAT) است که از سال 2004 فعال بوده و اطلاعات حساسی مانند نام میزبان و آدرس IP را از یک سیستم در معرض خطر جمع آوری می کند.

آنمول موریا و سیدهارت شارما، محققین، در گزارش این شرکت نوشتند که در چند ماه گذشته افزایش نگران کننده ای در انواع لینوکس Bifrost وجود داشته است: Palo Alto Networks بیش از 100 نمونه از نمونه های Bifrost را شناسایی کرده است که "نگرانی هایی را در بین کارشناسان و سازمان های امنیتی ایجاد می کند." یافته های تازه منتشر شده

علاوه بر این، شواهدی وجود دارد مبنی بر اینکه هدف مهاجمان سایبری گسترش بیشتر سطح حمله Bifrost، با استفاده از یک آدرس IP مخرب مرتبط با یک نوع لینوکس که میزبان نسخه ARM Bifrost نیز است.

محققان توضیح دادند: "با ارائه یک نسخه ARM از بدافزار، مهاجمان می توانند درک خود را گسترش دهند و دستگاه هایی را که ممکن است با بدافزار مبتنی بر x86 سازگار نباشند، به خطر بیاندازند." با رایج‌تر شدن دستگاه‌های مبتنی بر ARM، مجرمان سایبری احتمالاً تاکتیک‌های خود را با بدافزار مبتنی بر ARM تغییر می‌دهند و حملات خود را قوی‌تر می‌کنند و می‌توانند به اهداف بیشتری برسند.»

توزیع و عفونت

محققان خاطرنشان کردند که مهاجمان معمولا Bifrost را از طریق ضمیمه‌های ایمیل یا وب‌سایت‌های مخرب توزیع می‌کنند، اگرچه آنها در مورد بردار حمله اولیه برای انواع لینوکس جدید توضیحی ندادند.

محققان پالو آلتو نمونه ای از Bifrost را مشاهده کردند که روی سروری در دامنه 45.91.82[.]127 میزبانی شده بود. پس از نصب بر روی رایانه قربانی، Bifrost به دامنه فرمان و کنترل (C2) با نامی فریبنده، download.vmfare[.]com دسترسی پیدا می‌کند، که شبیه به یک دامنه قانونی VMware به نظر می‌رسد. بدافزار داده‌های کاربر را جمع‌آوری می‌کند تا به این سرور ارسال کند و از رمزگذاری RC4 برای رمزگذاری داده‌ها استفاده می‌کند.

محققان نوشتند: «این بدافزار اغلب از نام‌های دامنه فریبنده مانند C2 به جای آدرس‌های IP استفاده می‌کند تا از شناسایی فرار کند و ردیابی منبع فعالیت مخرب را برای محققان دشوارتر کند.

آنها همچنین این بدافزار را مشاهده کردند که تلاش می کرد با یک حل کننده DNS عمومی مستقر در تایوان با آدرس IP 168.95.1[.]1 تماس بگیرد. به گفته محققان، این بدافزار از حل‌کننده برای راه‌اندازی یک پرس و جوی DNS برای حل دامنه download.vmfare[.]com استفاده می‌کند.

حفاظت از داده های حساس

اگرچه ممکن است وقتی صحبت از بدافزار به میان می‌آید، Bifrost RAT یک تهدید مهم و در حال تحول برای افراد و سازمان‌ها به‌طور یکسان باقی می‌ماند، به ویژه با استفاده از انواع جدید. جعلی محققان گفتند برای فرار از تشخیص.

آنها نوشتند: «ردیابی و مقابله با بدافزارهایی مانند Bifrost برای حفاظت از داده‌های حساس و حفظ یکپارچگی سیستم‌های رایانه‌ای بسیار مهم است. این همچنین به به حداقل رساندن احتمال دسترسی غیرمجاز و آسیب‌های بعدی کمک می‌کند.»

در پست خود، محققان فهرستی از شاخص‌های سازش، از جمله نمونه‌های بدافزار و آدرس‌های دامنه و IP مرتبط با جدیدترین انواع لینوکس Bifrost را به اشتراک گذاشتند. محققان توصیه می کنند که شرکت ها از محصولات فایروال نسل بعدی و خدمات امنیتی مخصوص ابر - از جمله فیلتر URL، برنامه های کاربردی پیشگیری از بدافزار، و قابلیت مشاهده و تجزیه و تحلیل - برای ایمن سازی محیط های ابری.

به گفته محققان، در نهایت، فرآیند آلودگی به بدافزار اجازه می دهد تا اقدامات امنیتی را دور بزند و از شناسایی فرار کند و در نهایت سیستم های هدف را به خطر بیاندازد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-