Bifrost Trojan Linux-versiot välttävät havaitsemisen typosquattingin avulla

20-vuotias troijalainen nousi äskettäin esiin uusilla versioilla, jotka kohdistuvat Linuxiin ja esiintyvät luotetussa isännöidyssä verkkotunnuksessa havaitsemisen välttämiseksi.

Palo Alto Networksin tutkijat huomasivat uuden Linux-version Bifrost (alias Bifrose) -haittaohjelma joka käyttää petollista käytäntöä, joka tunnetaan nimellä typosquatting jäljitellä laillista VMware-verkkotunnusta, joka sallii haittaohjelman lentää tutkan alle. Bifrost on etäkäyttötroijalainen (RAT), joka on ollut aktiivinen vuodesta 2004 ja kerää arkaluontoisia tietoja, kuten isäntänimen ja IP-osoitteen, vaarantuneesta järjestelmästä.

Bifrost Linux -versioissa on ollut huolestuttava piikki viime kuukausien aikana: Palo Alto Networks on havainnut yli 100 tapausta Bifrost-näytteitä, mikä "herättää huolta tietoturvaasiantuntijoiden ja -organisaatioiden keskuudessa", tutkijat Anmol Murya ja Siddharth Sharma kirjoittivat yhtiön tiedotteessa. äskettäin julkaistut löydöt.

Lisäksi on näyttöä siitä, että kyberhyökkääjät pyrkivät laajentamaan Bifrostin hyökkäyspintaa entisestään käyttämällä haitallista IP-osoitetta, joka liittyy Linux-versioon, joka isännöi myös Bifrostin ARM-versiota, he sanoivat.

"Tarjoamalla ARM-version haittaohjelmasta hyökkääjät voivat laajentaa käsiään ja vaarantaa laitteet, jotka eivät välttämättä ole yhteensopivia x86-pohjaisten haittaohjelmien kanssa", tutkijat selittivät. "Kun ARM-pohjaiset laitteet yleistyvät, kyberrikolliset todennäköisesti muuttavat taktiikkaansa sisällyttämällä niihin ARM-pohjaisia ​​haittaohjelmia, mikä tekee hyökkäyksistään vahvempia ja voivat saavuttaa useampia kohteita."

Jakautuminen ja infektio

Hyökkääjät jakavat Bifrostia tyypillisesti sähköpostin liitteiden tai haitallisten verkkosivustojen kautta, tutkijat huomauttivat, vaikka he eivät tarkentaneet alkuperäistä hyökkäysvektoria äskettäin julkaistuille Linux-versioille.

Palo Alton tutkijat havaitsivat näytteen Bifrostista, joka isännöi palvelimella verkkotunnuksessa 45.91.82[.]127. Kun Bifrost on asennettu uhrin tietokoneelle, se tavoittaa C2-verkkotunnuksen, jolla on harhaanjohtava nimi, download.vmfare[.]com, joka näyttää samanlaiselta kuin laillinen VMware-verkkotunnus. Haittaohjelma kerää käyttäjätietoja lähettääkseen takaisin tälle palvelimelle käyttämällä RC4-salausta tietojen salaamiseen.

"Haittaohjelma omaksuu usein sellaisia ​​petollisia verkkotunnuksia kuin C2 IP-osoitteiden sijaan välttääkseen havaitsemisen ja vaikeuttaakseen tutkijoiden kykyä jäljittää haitallisen toiminnan lähteen", tutkijat kirjoittivat.

He havaitsivat myös haittaohjelman, joka yritti ottaa yhteyttä Taiwanissa sijaitsevaan julkiseen DNS-ratkaisuun, jonka IP-osoite on 168.95.1[.]1. Tutkijoiden mukaan haittaohjelma käynnistää DNS-kyselyn DNS-kyselyn avulla verkkotunnuksen download.vmfare[.]com ratkaisemiseksi. Tämä prosessi on ratkaisevan tärkeä sen varmistamiseksi, että Bifrost voi muodostaa yhteyden aiottuun kohteeseensa.

Arkaluonteisten tietojen suojaaminen

Vaikka Bifrost RAT saattaa olla vanhanaikainen haittaohjelmien suhteen, se on edelleen merkittävä ja kehittyvä uhka yksilöille ja organisaatioille, erityisesti uusien versioiden käyttöönoton myötä. typosquatting välttääkseen havaitsemisen, tutkijat sanoivat.

"Bifrostin kaltaisten haittaohjelmien seuranta ja torjunta on ratkaisevan tärkeää arkaluonteisten tietojen suojaamisessa ja tietokonejärjestelmien eheyden säilyttämisessä", he kirjoittivat. "Tämä auttaa myös minimoimaan luvattoman käytön ja myöhemmän haitan todennäköisyyden."

Viestissään tutkijat jakoivat luettelon kompromissin osoittimista, mukaan lukien haittaohjelmanäytteet sekä uusimpiin Bifrost Linux -versioihin liittyvät verkkotunnukset ja IP-osoitteet. Tutkijat neuvovat, että yritykset käyttävät seuraavan sukupolven palomuurituotteita ja pilvikohtaiset tietoturvapalvelut – mukaan lukien URL-suodatus, haittaohjelmien estosovellukset sekä näkyvyys ja analytiikka – pilviympäristöjen suojaamiseen.

Viime kädessä tartuntaprosessi antaa haittaohjelmille mahdollisuuden ohittaa turvatoimenpiteet ja välttää havaitsemisen ja lopulta vaarantaa kohdennetut järjestelmät, tutkijat sanoivat.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-