טרויאני בן 20 עלה מחדש לאחרונה עם גרסאות חדשות המכוונות ללינוקס ומתחזות לדומיין מתארח מהימן כדי להתחמק מזיהוי.
חוקרים מ-Palo Alto Networks הבחינו בגרסה חדשה של לינוקס של תוכנה זדונית Bifrost (המכונה Bifrose). שמשתמש בתרגול מטעה המכונה קלקול הקלדה כדי לחקות תחום VMware לגיטימי, המאפשר לתוכנה זדונית לעוף מתחת לרדאר. Bifrost הוא טרויאני גישה מרחוק (RAT) שפעיל מאז 2004 ואוסף מידע רגיש, כגון שם מארח וכתובת IP, ממערכת שנפרצה.
במהלך החודשים האחרונים חלה זינוק מדאיג בגרסאות לינוקס של Bifrost: Palo Alto Networks זיהתה יותר מ-100 מקרים של דגימות Bifrost, מה ש"מעלה דאגה בקרב מומחי אבטחה וארגונים", כתבו החוקרים אנמול מוריה וסידהארט שארמה בכתב העת של החברה. ממצאים שפורסמו לאחרונה.
יתרה מכך, ישנן עדויות לכך שתוקפי סייבר שואפים להרחיב עוד יותר את משטח ההתקפה של Bifrost, תוך שימוש בכתובת IP זדונית הקשורה לגרסה של לינוקס המארח גם גרסת ARM של Bifrost.
"על ידי אספקת גרסת ARM של התוכנה הזדונית, התוקפים יכולים להרחיב את אחיזתם ולפגוע במכשירים שאולי אינם תואמים לתוכנות זדוניות מבוססות x86", הסבירו החוקרים. "ככל שמכשירים מבוססי ARM הופכים נפוצים יותר, סביר להניח שפושעי סייבר ישנו את הטקטיקה שלהם כדי לכלול תוכנות זדוניות מבוססות ARM, מה שיהפוך את ההתקפות שלהם לחזקות יותר ויכולות להגיע ליותר מטרות."
הפצה וזיהום
תוקפים מפיצים בדרך כלל את Bifrost באמצעות קבצים מצורפים לדוא"ל או אתרים זדוניים, ציינו החוקרים, אם כי הם לא פירטו את וקטור ההתקפה הראשוני עבור גרסאות הלינוקס החדשות שעלו.
חוקרי פאלו אלטו צפו במדגם של Bifrost המתארח בשרת בדומיין 45.91.82[.]127. לאחר ההתקנה על מחשבו של הקורבן, Bifrost מושיט יד לדומיין פיקוד ושליטה (C2) עם שם מטעה, download.vmfare[.]com, שנראה דומה לדומיין VMware לגיטימי. התוכנה הזדונית אוספת נתוני משתמש כדי לשלוח בחזרה לשרת זה, תוך שימוש בהצפנת RC4 כדי להצפין את הנתונים.
"התוכנה הזדונית מאמצת לעתים קרובות שמות דומיינים מטעים כמו C2 במקום כתובות IP כדי להתחמק מזיהוי ולהקשות על החוקרים לאתר את מקור הפעילות הזדונית", כתבו החוקרים.
הם גם צפו בתוכנה הזדונית שמנסה ליצור קשר עם פותר DNS ציבורי מבוסס טייוואן עם כתובת ה-IP 168.95.1[.]1. התוכנה הזדונית משתמשת בפותר כדי ליזום שאילתת DNS כדי לפתור את הדומיין download.vmfare[.]com, תהליך חיוני כדי להבטיח שביפרוסט תוכל להתחבר בהצלחה ליעד המיועד לה, לדברי החוקרים.
שמירה על נתונים רגישים
למרות שהוא עשוי להיות מיושן בכל הנוגע לתוכנות זדוניות, Bifrost RAT נשאר איום משמעותי ומתפתח על אנשים וארגונים כאחד, במיוחד עם אימוץ גרסאות חדשות קלקול הקלדה כדי להתחמק מגילוי, אמרו החוקרים.
"מעקב ומניעת תוכנות זדוניות כמו Bifrost חיוניים לשמירה על נתונים רגישים ולשמירה על שלמות מערכות המחשב", כתבו. "זה גם עוזר למזער את הסבירות לגישה לא מורשית ולפגיעה לאחר מכן."
בפוסט שלהם, החוקרים שיתפו רשימה של אינדיקטורים של פשרה, כולל דגימות תוכנות זדוניות וכתובות דומיין ו-IP המשויכות לגרסאות Bifrost Linux העדכניות ביותר. החוקרים מייעצים שארגונים משתמשים במוצרי חומת אש מהדור הבא ו שירותי אבטחה ספציפיים לענן - כולל סינון כתובות אתרים, יישומים למניעת תוכנות זדוניות, ונראות וניתוח - לאבטחת סביבות ענן.
בסופו של דבר, תהליך ההדבקה מאפשר לתוכנה הזדונית לעקוף אמצעי אבטחה ולהתחמק מזיהוי, ובסופו של דבר לסכן מערכות ממוקדות, אמרו החוקרים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :יש ל
- :הוא
- :לֹא
- 100
- 7
- 91
- a
- יכול
- גישה
- פי
- פעיל
- פעילות
- כתובת
- כתובות
- אימוץ
- לייעץ
- המטרה
- aka
- דוֹמֶה
- מאפשר
- גם
- בין
- an
- ניתוח
- ו
- מופיע
- יישומים
- זרוע
- AS
- המשויך
- At
- לתקוף
- המתקפות
- בחזרה
- BE
- להיות
- היה
- Bifrost
- by
- לעקוף
- CAN
- שינוי
- ענן
- מגיע
- Common
- חברה
- תואם
- פשרה
- התפשר
- מתפשר
- המחשב
- דאגות
- לְחַבֵּר
- צור קשר
- מכריע
- עברייני אינטרנט
- נתונים
- יעד
- זוהה
- איתור
- התקנים
- לא
- קשה
- לְהָפִיץ
- הפצה
- DNS
- תחום
- שמות דומיינים
- להורדה
- בְּמַהֲלָך
- משוכלל
- אמייל
- להצפין
- הצף
- לְהַבטִיחַ
- חברות
- סביבות
- בריחה
- אֲפִילוּ
- עדות
- מתפתח
- לְהַרְחִיב
- מומחים
- מוסבר
- מעטים
- סינון
- ממצאים
- חומת אש
- בעד
- החל מ-
- נוסף
- לתפוס
- לפגוע
- עוזר
- אירח
- אירוח
- HTTPS
- להתחזות
- in
- לכלול
- כולל
- אינדיקטורים
- אנשים
- מידע
- בתחילה
- ליזום
- מותקן
- במקום
- שלמות
- התכוון
- IP
- כתובת IP
- כתובות IP
- IT
- שֶׁלָה
- ידוע
- האחרון
- לגיטימי
- כמו
- סְבִירוּת
- סביר
- לינוקס
- רשימה
- לעשות
- עשייה
- זדוני
- תוכנות זדוניות
- מאי..
- אמצעים
- לצמצם
- חודשים
- יותר
- שם
- שמות
- רשתות
- חדש
- חדש
- הדור הבא
- ציין
- of
- לעתים קרובות
- on
- פעם
- or
- ארגונים
- הַחוּצָה
- פאלו אלטו
- במיוחד
- עבר
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- הודעה
- תרגול
- מִשׁמֶרֶת
- תהליך
- מוצרים
- מתן
- ציבורי
- לאור
- שאלה
- מכ"ם
- מעלה
- דרג
- לְהַגִיעַ
- מגיע
- לאחרונה
- שְׂרִידִים
- מרחוק
- גישה מרחוק
- חוקרים
- לפתור
- s
- שְׁמִירָה
- אמר
- לִטעוֹם
- לבטח
- אבטחה
- אמצעי אבטחה
- לשלוח
- רגיש
- שרת
- משותף
- שארמה
- משמעותי
- דומה
- since
- מָקוֹר
- דָרְבָּן
- חזק יותר
- לאחר מכן
- בהצלחה
- כזה
- משטח
- מערכת
- מערכות
- טקטיקה
- יעד
- ממוקד
- מטרות
- מֵאֲשֶׁר
- זֶה
- השמיים
- המקור
- שֶׁלָהֶם
- שם.
- הֵם
- זֶה
- אם כי?
- איום
- דרך
- ל
- עקבות
- מעקב
- טרויאני
- מהימן
- מנסה
- בדרך כלל
- בסופו של דבר
- לא מורשה
- תחת
- כתובת האתר
- להשתמש
- משתמש
- שימושים
- באמצעות
- גִרְסָה אַחֶרֶת
- גרסה
- באמצעות
- קרבן
- ראות
- VMware
- אתרים
- טוֹב
- מתי
- אשר
- יצטרך
- עם
- לדאוג
- כתב
- זפירנט