Een 20 jaar oud Trojaans paard is onlangs weer opgedoken met nieuwe varianten die zich op Linux richten en een vertrouwd gehost domein nabootsen om detectie te omzeilen.
Onderzoekers van Palo Alto Networks hebben een nieuwe Linux-variant van de Bifrost-malware (ook bekend als Bifrose). die gebruik maakt van een misleidende praktijk die bekend staat als typosquatting om een โโlegitiem VMware-domein na te bootsen, waardoor de malware onder de radar kan vliegen. Bifrost is een Trojan voor externe toegang (RAT) die actief is sinds 2004 en gevoelige informatie verzamelt, zoals de hostnaam en het IP-adres, van een gecompromitteerd systeem.
Er is de afgelopen maanden een zorgwekkende piek in het aantal Bifrost Linux-varianten geweest: Palo Alto Networks heeft meer dan 100 exemplaren van Bifrost-samples gedetecteerd, wat โzorgen oproept bij beveiligingsexperts en organisatiesโ, schreven onderzoekers Anmol Murya en Siddharth Sharma in de publicatie van het bedrijf. nieuw gepubliceerde bevindingen.
Bovendien zijn er aanwijzingen dat cyberaanvallers het aanvalsoppervlak van Bifrost nog verder willen uitbreiden, met behulp van een kwaadaardig IP-adres dat is gekoppeld aan een Linux-variant die ook een ARM-versie van Bifrost host, zeiden ze.
โDoor een ARM-versie van de malware aan te bieden, kunnen aanvallers hun greep vergroten en apparaten in gevaar brengen die mogelijk niet compatibel zijn met x86-gebaseerde malwareโ, leggen de onderzoekers uit. โNaarmate op ARM gebaseerde apparaten steeds gebruikelijker worden, zullen cybercriminelen waarschijnlijk hun tactiek veranderen om ook op ARM gebaseerde malware toe te passen, waardoor hun aanvallen sterker worden en meer doelen kunnen worden bereikt.โ
Distributie en infectie
Aanvallers verspreiden Bifrost doorgaans via e-mailbijlagen of kwaadaardige websites, merkten de onderzoekers op, hoewel ze niet ingaan op de initiรซle aanvalsvector voor de nieuw opgedoken Linux-varianten.
Palo Alto-onderzoekers observeerden een voorbeeld van Bifrost gehost op een server op het domein 45.91.82[.]127. Eenmaal geรฏnstalleerd op de computer van een slachtoffer, maakt Bifrost contact met een command-and-control (C2)-domein met een misleidende naam, download.vmfare[.]com, die lijkt op een legitiem VMware-domein. De malware verzamelt gebruikersgegevens om terug te sturen naar deze server, waarbij gebruik wordt gemaakt van RC4-codering om de gegevens te versleutelen.
โDe malware gebruikt vaak misleidende domeinnamen als C2 in plaats van IP-adressen om detectie te omzeilen en het voor onderzoekers moeilijker te maken om de bron van de kwaadaardige activiteit te tracerenโ, schreven de onderzoekers.
Ze observeerden ook dat de malware probeerde contact te maken met een in Taiwan gevestigde openbare DNS-resolver met het IP-adres 168.95.1[.]1. De malware gebruikt de solver om een โโDNS-query te starten om het domein download.vmfare[.]com op te lossen, een proces dat cruciaal is om ervoor te zorgen dat Bifrost succesvol verbinding kan maken met de beoogde bestemming, aldus de onderzoekers.
Bescherming van gevoelige gegevens
Hoewel het misschien een oldtimer is als het om malware gaat, blijft de Bifrost RAT een belangrijke en evoluerende bedreiging voor zowel individuen als organisaties, vooral nu er nieuwe varianten worden aangenomen typosquatting om detectie te omzeilen, aldus de onderzoekers.
โHet volgen en tegengaan van malware zoals Bifrost is cruciaal voor het beschermen van gevoelige gegevens en het behoud van de integriteit van computersystemenโ, schreven ze. โDit helpt ook de kans op ongeoorloofde toegang en daaropvolgende schade te minimaliseren.โ
In hun bericht deelden de onderzoekers een lijst met indicatoren van compromissen, waaronder malwaremonsters en domein- en IP-adressen die verband houden met de nieuwste Bifrost Linux-varianten. De onderzoekers adviseren dat bedrijven firewallproducten van de volgende generatie gebruiken cloudspecifieke beveiligingsdiensten โ inclusief URL-filtering, toepassingen voor malwarepreventie en zichtbaarheid en analyse โ om cloudomgevingen te beveiligen.
Uiteindelijk zorgt het infectieproces ervoor dat de malware beveiligingsmaatregelen kan omzeilen en detectie kan omzeilen, en uiteindelijk gerichte systemen in gevaar kan brengen, aldus de onderzoekers.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- : heeft
- :is
- :niet
- 100
- 7
- 91
- a
- in staat
- toegang
- Volgens
- actieve
- activiteit
- adres
- adressen
- De goedkeuring van
- adviseren
- streven
- aka
- gelijk
- toestaat
- ook
- onder
- an
- analytics
- en
- komt naar voren
- toepassingen
- ARM
- AS
- geassocieerd
- At
- aanvallen
- Aanvallen
- terug
- BE
- worden
- geweest
- Bifrost
- by
- bypass
- CAN
- verandering
- Cloud
- komt
- Gemeen
- afstand
- verenigbaar
- compromis
- Aangetast
- afbreuk te doen aan
- computer
- Zorgen
- Verbinden
- contact
- cruciaal
- cybercriminelen
- gegevens
- bestemming
- gedetecteerd
- Opsporing
- systemen
- Jonathan Bourdon
- moeilijk
- verdelen
- distributie
- dns
- domein
- DOMEINNAMEN
- Download
- gedurende
- uitwerken
- encrypt
- encryptie
- verzekeren
- bedrijven
- omgevingen
- ontwijken
- Zelfs
- bewijzen
- evoluerende
- Uitvouwen
- deskundigen
- uitgelegd
- weinig
- filtering
- bevindingen
- firewall
- Voor
- oppompen van
- verder
- grijpen
- schaden
- helpt
- gehost
- Hosting
- HTTPS
- verpersoonlijken
- in
- omvatten
- Inclusief
- indicatoren
- individuen
- informatie
- eerste
- beginnen
- geรฏnstalleerd
- verkrijgen in plaats daarvan
- integriteit
- bestemde
- IP
- IP-adres
- IP adressen
- IT
- HAAR
- bekend
- laatste
- rechtmatig
- als
- waarschijnlijkheid
- Waarschijnlijk
- linux
- Lijst
- maken
- maken
- kwaadaardig
- malware
- Mei..
- maatregelen
- verkleinen
- maanden
- meer
- naam
- namen
- netwerken
- New
- onlangs
- volgende generatie
- bekend
- of
- vaak
- on
- eens
- or
- organisaties
- uit
- Palo Alto
- vooral
- verleden
- Plato
- Plato gegevensintelligentie
- PlatoData
- Post
- praktijk
- het behoud van
- Producten
- het verstrekken van
- publiek
- gepubliceerde
- vraag
- radar
- verhoogt
- RAT
- bereiken
- Bereikt
- onlangs
- stoffelijk overschot
- vanop
- remote access
- onderzoekers
- oplossen
- s
- vrijwaring
- Zei
- monster
- beveiligen
- veiligheid
- Veiligheidsmaatregelen
- sturen
- gevoelig
- server
- gedeeld
- Sharma
- aanzienlijke
- gelijk
- sinds
- bron
- aar
- sterker
- volgend
- Met goed gevolg
- dergelijk
- Oppervlak
- system
- Systems
- tactiek
- doelwit
- doelgerichte
- doelen
- neem contact
- dat
- De
- De Bron
- hun
- Er.
- ze
- dit
- toch?
- bedreiging
- Door
- naar
- Opsporen
- Tracking
- Trojaans
- vertrouwde
- proberen
- typisch
- Tenslotte
- onbevoegd
- voor
- URL
- .
- Gebruiker
- toepassingen
- gebruik
- Variant
- versie
- via
- Slachtoffer
- zichtbaarheid
- vmware
- websites
- GOED
- wanneer
- welke
- wil
- Met
- zorgen te maken
- schreef
- zephyrnet
