یک تروجان 20 ساله اخیراً با انواع جدیدی ظاهر شد که لینوکس را هدف قرار می دهد و برای فرار از شناسایی یک دامنه میزبان قابل اعتماد جعل هویت می کند.
محققان از Palo Alto Networks نوع جدیدی از لینوکس را مشاهده کردند بدافزار Bifrost (معروف به Bifrose). که از یک عمل فریبنده به نام استفاده می کند جعلی برای تقلید از یک دامنه قانونی VMware، که به بدافزار اجازه می دهد تا زیر رادار پرواز کند. بیفروست یک تروجان دسترسی از راه دور (RAT) است که از سال 2004 فعال بوده و اطلاعات حساسی مانند نام میزبان و آدرس IP را از یک سیستم در معرض خطر جمع آوری می کند.
آنمول موریا و سیدهارت شارما، محققین، در گزارش این شرکت نوشتند که در چند ماه گذشته افزایش نگران کننده ای در انواع لینوکس Bifrost وجود داشته است: Palo Alto Networks بیش از 100 نمونه از نمونه های Bifrost را شناسایی کرده است که "نگرانی هایی را در بین کارشناسان و سازمان های امنیتی ایجاد می کند." یافته های تازه منتشر شده
علاوه بر این، شواهدی وجود دارد مبنی بر اینکه هدف مهاجمان سایبری گسترش بیشتر سطح حمله Bifrost، با استفاده از یک آدرس IP مخرب مرتبط با یک نوع لینوکس که میزبان نسخه ARM Bifrost نیز است.
محققان توضیح دادند: "با ارائه یک نسخه ARM از بدافزار، مهاجمان می توانند درک خود را گسترش دهند و دستگاه هایی را که ممکن است با بدافزار مبتنی بر x86 سازگار نباشند، به خطر بیاندازند." با رایجتر شدن دستگاههای مبتنی بر ARM، مجرمان سایبری احتمالاً تاکتیکهای خود را با بدافزار مبتنی بر ARM تغییر میدهند و حملات خود را قویتر میکنند و میتوانند به اهداف بیشتری برسند.»
توزیع و عفونت
محققان خاطرنشان کردند که مهاجمان معمولا Bifrost را از طریق ضمیمههای ایمیل یا وبسایتهای مخرب توزیع میکنند، اگرچه آنها در مورد بردار حمله اولیه برای انواع لینوکس جدید توضیحی ندادند.
محققان پالو آلتو نمونه ای از Bifrost را مشاهده کردند که روی سروری در دامنه 45.91.82[.]127 میزبانی شده بود. پس از نصب بر روی رایانه قربانی، Bifrost به دامنه فرمان و کنترل (C2) با نامی فریبنده، download.vmfare[.]com دسترسی پیدا میکند، که شبیه به یک دامنه قانونی VMware به نظر میرسد. بدافزار دادههای کاربر را جمعآوری میکند تا به این سرور ارسال کند و از رمزگذاری RC4 برای رمزگذاری دادهها استفاده میکند.
محققان نوشتند: «این بدافزار اغلب از نامهای دامنه فریبنده مانند C2 به جای آدرسهای IP استفاده میکند تا از شناسایی فرار کند و ردیابی منبع فعالیت مخرب را برای محققان دشوارتر کند.
آنها همچنین این بدافزار را مشاهده کردند که تلاش می کرد با یک حل کننده DNS عمومی مستقر در تایوان با آدرس IP 168.95.1[.]1 تماس بگیرد. به گفته محققان، این بدافزار از حلکننده برای راهاندازی یک پرس و جوی DNS برای حل دامنه download.vmfare[.]com استفاده میکند.
حفاظت از داده های حساس
اگرچه ممکن است وقتی صحبت از بدافزار به میان میآید، Bifrost RAT یک تهدید مهم و در حال تحول برای افراد و سازمانها بهطور یکسان باقی میماند، به ویژه با استفاده از انواع جدید. جعلی محققان گفتند برای فرار از تشخیص.
آنها نوشتند: «ردیابی و مقابله با بدافزارهایی مانند Bifrost برای حفاظت از دادههای حساس و حفظ یکپارچگی سیستمهای رایانهای بسیار مهم است. این همچنین به به حداقل رساندن احتمال دسترسی غیرمجاز و آسیبهای بعدی کمک میکند.»
در پست خود، محققان فهرستی از شاخصهای سازش، از جمله نمونههای بدافزار و آدرسهای دامنه و IP مرتبط با جدیدترین انواع لینوکس Bifrost را به اشتراک گذاشتند. محققان توصیه می کنند که شرکت ها از محصولات فایروال نسل بعدی و خدمات امنیتی مخصوص ابر - از جمله فیلتر URL، برنامه های کاربردی پیشگیری از بدافزار، و قابلیت مشاهده و تجزیه و تحلیل - برای ایمن سازی محیط های ابری.
به گفته محققان، در نهایت، فرآیند آلودگی به بدافزار اجازه می دهد تا اقدامات امنیتی را دور بزند و از شناسایی فرار کند و در نهایت سیستم های هدف را به خطر بیاندازد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- : دارد
- :است
- :نه
- 100
- 7
- 91
- a
- قادر
- دسترسی
- مطابق
- فعال
- فعالیت
- نشانی
- آدرس
- تصویب
- توصیه
- هدف
- نام
- به طور یکسان
- اجازه می دهد تا
- همچنین
- در میان
- an
- علم تجزیه و تحلیل
- و
- ظاهر می شود
- برنامه های کاربردی
- ARM
- AS
- مرتبط است
- At
- حمله
- حمله
- به عقب
- BE
- شدن
- بوده
- بیفروست
- by
- گذرگاه
- CAN
- تغییر دادن
- ابر
- می آید
- مشترک
- شرکت
- سازگار
- سازش
- در معرض خطر
- مصالحه
- کامپیوتر
- نگرانی ها
- اتصال
- تماس
- بسیار سخت
- مجرمان سایبری
- داده ها
- مقصد
- شناسایی شده
- کشف
- دستگاه ها
- نشد
- مشکل
- توزیع کردن
- توزیع
- دی ان اس
- دامنه
- نام های دامنه
- دانلود
- در طی
- دارای جزئیات - بسیط
- پست الکترونیک
- رمزگذاری
- رمزگذاری
- اطمینان حاصل شود
- شرکت
- محیط
- فرار کردن
- حتی
- مدرک
- در حال تحول
- گسترش
- کارشناسان
- توضیح داده شده
- کمی از
- فیلتر
- یافته ها
- فایروال
- برای
- از جانب
- بیشتر
- فهم
- صدمه
- کمک می کند
- میزبانی
- میزبانی وب
- HTTPS
- جعل هویت
- in
- شامل
- از جمله
- شاخص ها
- افراد
- اطلاعات
- اول
- وارد کردن
- نصب شده
- در عوض
- تمامیت
- مورد نظر
- IP
- IP آدرس
- آدرس های IP
- IT
- ITS
- شناخته شده
- آخرین
- قانونی
- پسندیدن
- احتمال
- احتمالا
- لینوکس
- فهرست
- ساخت
- ساخت
- مخرب
- نرم افزارهای مخرب
- ممکن است..
- معیارهای
- به حداقل رساندن
- ماه
- بیش
- نام
- نام
- شبکه
- جدید
- به تازگی
- نسل بعدی
- اشاره کرد
- of
- غالبا
- on
- یک بار
- or
- سازمان های
- خارج
- پالو آلتو
- ویژه
- گذشته
- افلاطون
- هوش داده افلاطون
- PlatoData
- پست
- تمرین
- حفظ کردن
- روند
- محصولات
- ارائه
- عمومی
- منتشر شده
- پرس و جو
- رادار
- افزایش
- موش صحرایی
- رسیدن به
- می رسد
- تازه
- بقایای
- دور
- دسترسی از راه دور
- محققان
- تصمیم
- s
- حفاظت
- سعید
- نمونه
- امن
- تیم امنیت لاتاری
- اقدامات امنیتی
- ارسال
- حساس
- سرور
- به اشتراک گذاشته شده
- شرما
- قابل توجه
- مشابه
- پس از
- منبع
- سنبله
- قوی
- متعاقب
- موفقیت
- چنین
- سطح
- سیستم
- سیستم های
- تاکتیک
- هدف
- هدف قرار
- اهداف
- نسبت به
- که
- La
- منبع
- شان
- آنجا.
- آنها
- این
- اگر چه؟
- تهدید
- از طریق
- به
- پی گیری
- پیگردی
- تروجان
- مورد اعتماد
- تلاش
- به طور معمول
- در نهایت
- غیر مجاز
- زیر
- URL
- استفاده کنید
- کاربر
- استفاده
- با استفاده از
- نوع دیگر
- نسخه
- از طريق
- قربانی
- دید
- آموزش VMware
- وب سایت
- خوب
- چه زمانی
- که
- اراده
- با
- نگران کننده است
- نوشت
- زفیرنت