גרסאות לינוקס של Bifrost Trojan מתחמקות מזיהוי באמצעות Typosquatting

טרויאני בן 20 עלה מחדש לאחרונה עם גרסאות חדשות המכוונות ללינוקס ומתחזות לדומיין מתארח מהימן כדי להתחמק מזיהוי.

חוקרים מ-Palo Alto Networks הבחינו בגרסה חדשה של לינוקס של תוכנה זדונית Bifrost (המכונה Bifrose). שמשתמש בתרגול מטעה המכונה קלקול הקלדה כדי לחקות תחום VMware לגיטימי, המאפשר לתוכנה זדונית לעוף מתחת לרדאר. Bifrost הוא טרויאני גישה מרחוק (RAT) שפעיל מאז 2004 ואוסף מידע רגיש, כגון שם מארח וכתובת IP, ממערכת שנפרצה.

במהלך החודשים האחרונים חלה זינוק מדאיג בגרסאות לינוקס של Bifrost: Palo Alto Networks זיהתה יותר מ-100 מקרים של דגימות Bifrost, מה ש"מעלה דאגה בקרב מומחי אבטחה וארגונים", כתבו החוקרים אנמול מוריה וסידהארט שארמה בכתב העת של החברה. ממצאים שפורסמו לאחרונה.

יתרה מכך, ישנן עדויות לכך שתוקפי סייבר שואפים להרחיב עוד יותר את משטח ההתקפה של Bifrost, תוך שימוש בכתובת IP זדונית הקשורה לגרסה של לינוקס המארח גם גרסת ARM של Bifrost.

"על ידי אספקת גרסת ARM של התוכנה הזדונית, התוקפים יכולים להרחיב את אחיזתם ולפגוע במכשירים שאולי אינם תואמים לתוכנות זדוניות מבוססות x86", הסבירו החוקרים. "ככל שמכשירים מבוססי ARM הופכים נפוצים יותר, סביר להניח שפושעי סייבר ישנו את הטקטיקה שלהם כדי לכלול תוכנות זדוניות מבוססות ARM, מה שיהפוך את ההתקפות שלהם לחזקות יותר ויכולות להגיע ליותר מטרות."

הפצה וזיהום

תוקפים מפיצים בדרך כלל את Bifrost באמצעות קבצים מצורפים לדוא"ל או אתרים זדוניים, ציינו החוקרים, אם כי הם לא פירטו את וקטור ההתקפה הראשוני עבור גרסאות הלינוקס החדשות שעלו.

חוקרי פאלו אלטו צפו במדגם של Bifrost המתארח בשרת בדומיין 45.91.82[.]127. לאחר ההתקנה על מחשבו של הקורבן, Bifrost מושיט יד לדומיין פיקוד ושליטה (C2) עם שם מטעה, download.vmfare[.]com, שנראה דומה לדומיין VMware לגיטימי. התוכנה הזדונית אוספת נתוני משתמש כדי לשלוח בחזרה לשרת זה, תוך שימוש בהצפנת RC4 כדי להצפין את הנתונים.

"התוכנה הזדונית מאמצת לעתים קרובות שמות דומיינים מטעים כמו C2 במקום כתובות IP כדי להתחמק מזיהוי ולהקשות על החוקרים לאתר את מקור הפעילות הזדונית", כתבו החוקרים.

הם גם צפו בתוכנה הזדונית שמנסה ליצור קשר עם פותר DNS ציבורי מבוסס טייוואן עם כתובת ה-IP 168.95.1[.]1. התוכנה הזדונית משתמשת בפותר כדי ליזום שאילתת DNS כדי לפתור את הדומיין download.vmfare[.]com, תהליך חיוני כדי להבטיח שביפרוסט תוכל להתחבר בהצלחה ליעד המיועד לה, לדברי החוקרים.

שמירה על נתונים רגישים

למרות שהוא עשוי להיות מיושן בכל הנוגע לתוכנות זדוניות, Bifrost RAT נשאר איום משמעותי ומתפתח על אנשים וארגונים כאחד, במיוחד עם אימוץ גרסאות חדשות קלקול הקלדה כדי להתחמק מגילוי, אמרו החוקרים.

"מעקב ומניעת תוכנות זדוניות כמו Bifrost חיוניים לשמירה על נתונים רגישים ולשמירה על שלמות מערכות המחשב", כתבו. "זה גם עוזר למזער את הסבירות לגישה לא מורשית ולפגיעה לאחר מכן."

בפוסט שלהם, החוקרים שיתפו רשימה של אינדיקטורים של פשרה, כולל דגימות תוכנות זדוניות וכתובות דומיין ו-IP המשויכות לגרסאות Bifrost Linux העדכניות ביותר. החוקרים מייעצים שארגונים משתמשים במוצרי חומת אש מהדור הבא ו שירותי אבטחה ספציפיים לענן - כולל סינון כתובות אתרים, יישומים למניעת תוכנות זדוניות, ונראות וניתוח - לאבטחת סביבות ענן.

בסופו של דבר, תהליך ההדבקה מאפשר לתוכנה הזדונית לעקוף אמצעי אבטחה ולהתחמק מזיהוי, ובסופו של דבר לסכן מערכות ממוקדות, אמרו החוקרים.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-