20년 된 트로이 목마가 최근 Linux를 표적으로 삼고 탐지를 회피하기 위해 신뢰할 수 있는 호스트 도메인으로 가장하는 새로운 변종으로 다시 나타났습니다.
Palo Alto Networks의 연구원들이 새로운 Linux 변종을 발견했습니다. Bifrost(일명 Bifrose) 악성코드 이라는 기만적인 방법을 사용하는 것입니다. 타이포 스쿼팅 합법적인 VMware 도메인을 모방하여 맬웨어가 레이더 아래로 날아갈 수 있도록 합니다. 비프 로스트 RAT(원격 액세스 트로이 목마)는 2004년부터 활동해 왔으며 손상된 시스템에서 호스트 이름, IP 주소와 같은 민감한 정보를 수집합니다.
지난 몇 달 동안 Bifrost Linux 변종이 걱정스럽게 급증했습니다. Palo Alto Networks는 Bifrost 샘플의 100개 이상의 인스턴스를 발견했으며, 이는 "보안 전문가와 조직 사이에 우려를 불러일으킵니다"라고 연구원 Anmol Murya와 Siddharth Sharma가 회사의 보고서에 썼습니다. 새로 발표된 연구 결과.
더욱이 사이버 공격자들은 Bifrost의 ARM 버전을 호스팅하는 Linux 변종과 관련된 악성 IP 주소를 사용하여 Bifrost의 공격 표면을 더욱 확장하려고 한다는 증거가 있다고 그들은 말했습니다.
연구원들은 “ARM 버전의 악성코드를 제공함으로써 공격자들은 x86 기반 악성코드와 호환되지 않는 장치를 손상시켜 장악력을 확장할 수 있습니다.”라고 설명했습니다. “ARM 기반 장치가 점점 보편화됨에 따라 사이버 범죄자들은 ARM 기반 악성 코드를 포함하도록 전술을 변경하여 공격을 더욱 강력하게 만들고 더 많은 목표에 도달할 수 있게 될 것입니다.”
분포 및 감염
연구원들은 공격자들이 일반적으로 이메일 첨부 파일이나 악성 웹사이트를 통해 Bifrost를 배포한다고 밝혔지만, 새롭게 등장한 Linux 변종에 대한 초기 공격 벡터에 대해서는 자세히 설명하지 않았습니다.
Palo Alto 연구원들은 도메인 45.91.82[.]127의 서버에서 호스팅되는 Bifrost 샘플을 관찰했습니다. Bifrost는 피해자의 컴퓨터에 설치되면 합법적인 VMware 도메인과 유사해 보이는 download.vmfare[.]com이라는 사기성 이름을 사용하여 명령 및 제어(C2) 도메인에 접근합니다. 악성 코드는 RC4 암호화를 사용하여 데이터를 암호화하여 이 서버로 다시 보낼 사용자 데이터를 수집합니다.
연구원들은 “악성코드는 종종 IP 주소 대신 C2와 같은 사기성 도메인 이름을 채택하여 탐지를 회피하고 연구원들이 악성 활동의 소스를 추적하기 어렵게 만듭니다”라고 썼습니다.
또한 그들은 IP 주소 168.95.1[.]1을 사용하여 대만 기반의 공용 DNS 확인자에 연결을 시도하는 악성코드를 관찰했습니다. 연구원에 따르면 악성 코드는 확인자를 사용하여 Bifrost가 의도한 대상에 성공적으로 연결할 수 있는지 확인하는 데 중요한 프로세스인 download.vmfare[.]com 도메인을 확인하기 위해 DNS 쿼리를 시작합니다.
민감한 데이터 보호
맬웨어에 있어서는 오래된 것일 수 있지만 Bifrost RAT는 개인과 조직 모두에게 여전히 중요하고 진화하는 위협으로 남아 있습니다. 특히 새로운 변종을 채택하는 경우 더욱 그렇습니다. 타이포 스쿼팅 연구원들은 탐지를 피하기 위해 말했다.
“Bifrost와 같은 악성 코드를 추적하고 대응하는 것은 민감한 데이터를 보호하고 컴퓨터 시스템의 무결성을 유지하는 데 중요합니다.”라고 그들은 썼습니다. "이는 또한 무단 액세스 및 그에 따른 피해 가능성을 최소화하는 데 도움이 됩니다."
연구원들은 해당 게시물에서 악성 코드 샘플, 최신 Bifrost Linux 변종과 관련된 도메인 및 IP 주소를 포함한 손상 지표 목록을 공유했습니다. 연구원들은 기업이 차세대 방화벽 제품을 사용하고 클라우드 특화 보안 서비스 URL 필터링, 맬웨어 방지 애플리케이션, 가시성 및 분석을 포함하여 클라우드 환경을 보호합니다.
궁극적으로 감염 과정을 통해 악성 코드는 보안 조치를 우회하고 탐지를 회피하여 궁극적으로 표적 시스템을 손상시킬 수 있다고 연구진은 말했습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :있다
- :이다
- :아니
- 100
- 7
- 91
- a
- 할 수 있는
- ACCESS
- 에 따르면
- 활동적인
- 활동
- 주소
- 구애
- 채택
- 조언
- 겨냥
- 아카
- 서로 같은
- 수
- 또한
- 중
- an
- 분석
- 및
- 등장하다
- 어플리케이션
- ARM
- AS
- 관련
- At
- 공격
- 공격
- 뒤로
- BE
- 가
- 된
- 비프 로스트
- by
- 우회로
- CAN
- 이전 단계로 돌아가기
- 클라우드
- 제공
- 공통의
- 회사
- 호환
- 타협
- 손상된
- 손상
- 컴퓨터
- 우려 사항
- 연결하기
- CONTACT
- 결정적인
- 사이버 범죄자
- 데이터
- 목적지
- 탐지 된
- Detection System
- 디바이스
- didn
- 어려운
- 배포하다
- 분포
- DNS
- 도메인
- 도메인 이름
- 다운로드
- ...동안
- 정교한
- 이메일
- 암호화
- 암호화
- 확인
- 기업
- 환경
- 탈출
- 조차
- 증거
- 진화하는
- 펼치기
- 전문가
- 설명
- 를
- 필터링
- 결과
- 방화벽
- 럭셔리
- 에
- 추가
- 파악
- 해가
- 도움이
- 호스팅
- 호스팅
- HTTPS
- 명의를 도용하다
- in
- 포함
- 포함
- 표시
- 개인
- 정보
- 처음에는
- 시작
- 설치
- 를 받아야 하는 미국 여행자
- 보전
- 예정된
- IP
- IP 주소
- IP 주소
- IT
- 그
- 알려진
- 최근
- 합법적 인
- 처럼
- 있을 수 있는 일
- 아마도
- 리눅스
- 명부
- 확인
- 유튜브 영상을 만드는 것은
- 악의있는
- 악성 코드
- XNUMX월..
- 조치들
- 최소화
- 개월
- 배우기
- name
- 이름
- 네트워크
- 신제품
- 새로운
- 다음 세대
- 유명한
- of
- 자주
- on
- 일단
- or
- 조직
- 아웃
- 팔로 알토
- 특별히
- 과거
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 게시하다
- 연습
- 보존
- 방법
- 제품
- 제공
- 공개
- 출판
- 질문
- 레이더
- 제기
- 쥐
- 도달
- 도달하다
- 최근에
- 유적
- 먼
- 원격 액세스
- 연구원
- 해결
- s
- 보호
- 말했다
- 견본
- 안전해야합니다.
- 보안
- 보안 조치
- 보내다
- 민감한
- 섬기는 사람
- 공유
- 샤르마
- 상당한
- 비슷한
- 이후
- 출처
- 스파이크
- 강한
- 후속의
- 성공적으로
- 이러한
- 표면
- 체계
- 시스템은
- 전술
- 목표
- 대상
- 목표
- 보다
- 그
- XNUMXD덴탈의
- 소스
- 그들의
- 그곳에.
- 그들
- 이
- 그래도?
- 위협
- 을 통하여
- 에
- 더듬다
- 추적
- 트로이의
- 신뢰할 수있는
- 노력
- 일반적으로
- 궁극적으로
- 무단의
- 아래에
- URL
- 사용
- 사용자
- 사용
- 사용
- 변형
- 버전
- 를 통해
- 희생자
- 가시성
- VM웨어
- 웹 사이트
- 잘
- 언제
- 어느
- 의지
- 과
- 걱정
- 쓴
- 제퍼 넷
