Niedawno pojawił się 20-letni trojan z nowymi wariantami, których celem jest Linux i podszywający się pod zaufaną domenę hostowaną, aby uniknąć wykrycia.
Badacze z Palo Alto Networks zauważyli nowy wariant Linuxa Złośliwe oprogramowanie Bifrost (znane również jako Bifrose). która stosuje zwodniczą praktykę znaną jako typosquatting naśladować legalną domenę VMware, co pozwala złośliwemu oprogramowaniu przemycić niezauważone. Bifrost to trojan dostępu zdalnego (RAT), który działa od 2004 roku i zbiera poufne informacje, takie jak nazwa hosta i adres IP, z zaatakowanego systemu.
W ciągu ostatnich kilku miesięcy nastąpił niepokojący wzrost liczby wariantów Bifrost Linux: Palo Alto Networks wykryła ponad 100 przypadków próbek Bifrost, co „wzbudza obawy wśród ekspertów i organizacji ds. bezpieczeństwa” – napisali badacze Anmol Murya i Siddharth Sharma w raporcie firmy nowo opublikowane ustalenia.
Co więcej, istnieją dowody na to, że cyberprzestępcy chcą jeszcze bardziej rozszerzyć obszar ataku Bifrost, wykorzystując złośliwy adres IP powiązany z wariantem Linuksa, na którym znajduje się również wersja Bifrost z procesorem ARM – twierdzą.
„Udostępniając wersję szkodliwego oprogramowania ARM, osoby atakujące mogą poszerzyć zakres swoich możliwości, naruszając urządzenia, które mogą nie być kompatybilne ze złośliwym oprogramowaniem opartym na architekturze x86” – wyjaśnili badacze. „W miarę jak urządzenia oparte na architekturze ARM staną się coraz bardziej powszechne, cyberprzestępcy prawdopodobnie zmienią swoją taktykę, włączając w to złośliwe oprogramowanie oparte na architekturze ARM, dzięki czemu ich ataki będą silniejsze i będą mogły dotrzeć do większej liczby celów”.
Dystrybucja i infekcja
Badacze zauważyli, że atakujący zazwyczaj rozpowszechniają Bifrost poprzez załączniki do wiadomości e-mail lub złośliwe strony internetowe, chociaż nie opracowali szczegółowego wektora ataku dla nowo pojawiających się wariantów Linuksa.
Badacze z Palo Alto zaobserwowali próbkę Bifrost hostowaną na serwerze w domenie 45.91.82[.]127. Po zainstalowaniu na komputerze ofiary Bifrost łączy się z domeną dowodzenia i kontroli (C2) pod zwodniczą nazwą download.vmfare[.]com, która wygląda podobnie do legalnej domeny VMware. Szkodnik zbiera dane użytkownika i wysyła je z powrotem na ten serwer, używając do szyfrowania danych szyfrowania RC4.
„Szkodliwe oprogramowanie często przyjmuje zwodnicze nazwy domen, takie jak C2 zamiast adresów IP, aby uniknąć wykrycia i utrudnić badaczom śledzenie źródła szkodliwej aktywności” – napisali badacze.
Zaobserwowali również, że złośliwe oprogramowanie próbuje skontaktować się z publicznym narzędziem do rozpoznawania nazw DNS z siedzibą na Tajwanie za pomocą adresu IP 168.95.1[.]1. Według badaczy złośliwe oprogramowanie wykorzystuje moduł rozpoznawania nazw do zainicjowania zapytania DNS w celu rozpoznania domeny download.vmfare[.]com. Jest to proces kluczowy, aby zapewnić pomyślne połączenie Bifrost z zamierzonym miejscem docelowym.
Ochrona wrażliwych danych
Choć może to być przeżytek, jeśli chodzi o złośliwe oprogramowanie, Bifrost RAT pozostaje znaczącym i ewoluującym zagrożeniem zarówno dla osób prywatnych, jak i organizacji, szczególnie w przypadku nowych wariantów typosquatting aby uniknąć wykrycia – twierdzą naukowcy.
„Śledzenie i przeciwdziałanie złośliwemu oprogramowaniu takiemu jak Bifrost ma kluczowe znaczenie dla ochrony wrażliwych danych i zachowania integralności systemów komputerowych” – napisali. „Pomaga to również zminimalizować prawdopodobieństwo nieuprawnionego dostępu i późniejszych szkód”.
W swoim poście badacze udostępnili listę wskaźników naruszenia, w tym próbki złośliwego oprogramowania oraz adresy domen i IP powiązane z najnowszymi wariantami systemu Bifrost Linux. Badacze zalecają, aby przedsiębiorstwa korzystały z produktów firewall nowej generacji i usługi bezpieczeństwa specyficzne dla chmury — w tym filtrowanie adresów URL, aplikacje zapobiegające złośliwemu oprogramowaniu oraz widoczność i analityka — w celu zabezpieczenia środowisk chmurowych.
Ostatecznie proces infekcji pozwala złośliwemu oprogramowaniu ominąć środki bezpieczeństwa i uniknąć wykrycia, a ostatecznie zagrozić docelowym systemom – twierdzą naukowcy.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :ma
- :Jest
- :nie
- 100
- 7
- 91
- a
- Zdolny
- dostęp
- Stosownie
- aktywny
- działalność
- adres
- Adresy
- Przyjęcie
- doradzać
- zmierzać
- aka
- zarówno
- pozwala
- również
- wśród
- an
- analityka
- i
- pojawia się
- aplikacje
- ARM
- AS
- powiązany
- At
- atakować
- Ataki
- z powrotem
- BE
- stają się
- być
- Bifrost
- by
- bypass
- CAN
- zmiana
- Chmura
- byliśmy spójni, od początku
- wspólny
- sukcesy firma
- zgodny
- kompromis
- Zagrożone
- kompromis
- komputer
- Obawy
- Skontaktuj się
- skontaktuj się
- istotny
- cyberprzestępcy
- dane
- miejsce przeznaczenia
- wykryte
- Wykrywanie
- urządzenia
- nie zrobił
- trudny
- rozprowadzać
- 分配
- dns
- domena
- NAZWY DOMEN
- pobieranie
- podczas
- Opracować
- Szyfrowanie
- szyfrowanie
- zapewnić
- przedsiębiorstwa
- środowiska
- uchylać się
- Parzyste
- dowód
- ewoluuje
- Rozszerzać
- eksperci
- wyjaśnione
- kilka
- filtracja
- Ustalenia
- zapora
- W razie zamówieenia projektu
- od
- dalej
- chwycić
- zaszkodzić
- pomaga
- hostowane
- Hosting
- HTTPS
- podszywać się
- in
- zawierać
- Włącznie z
- wskaźniki
- osób
- Informacja
- początkowy
- zainicjować
- zainstalowany
- zamiast
- integralność
- zamierzony
- IP
- Adres IP
- Adresy IP
- IT
- JEGO
- znany
- firmy
- prawowity
- lubić
- prawdopodobieństwo
- Prawdopodobnie
- linux
- Lista
- robić
- Dokonywanie
- złośliwy
- malware
- Może..
- środków
- zminimalizować
- miesięcy
- jeszcze
- Nazwa
- Nazwy
- sieci
- Nowości
- nowo
- następna generacja
- zauważyć
- of
- często
- on
- pewnego razu
- or
- organizacji
- na zewnątrz
- Palo Alto
- szczególnie
- Przeszłość
- plato
- Analiza danych Platona
- PlatoDane
- Post
- praktyka
- konserwowanie
- wygląda tak
- Produkty
- że
- publiczny
- opublikowany
- pytanie
- radar
- podnosi
- SZCZUR
- dosięgnąć
- Osiąga
- niedawno
- szczątki
- zdalny
- zdalny dostęp
- Badacze
- rozwiązać
- s
- zabezpieczenie
- Powiedział
- próba
- bezpieczne
- bezpieczeństwo
- Środki bezpieczeństwa
- wysłać
- wrażliwy
- serwer
- shared
- Sharma
- znaczący
- podobny
- ponieważ
- Źródło
- kolec
- silniejszy
- kolejny
- Z powodzeniem
- taki
- Powierzchnia
- system
- systemy
- taktyka
- cel
- ukierunkowane
- cele
- niż
- że
- Połączenia
- Źródło
- ich
- Tam.
- one
- to
- chociaż?
- groźba
- Przez
- do
- Wyśledzić
- Śledzenie
- trojański
- zaufany
- stara
- zazwyczaj
- Ostatecznie
- Nieupoważniony
- dla
- URL
- posługiwać się
- Użytkownik
- zastosowania
- za pomocą
- Wariant
- wersja
- przez
- Ofiara
- widoczność
- vmware
- strony internetowe
- DOBRZE
- jeśli chodzi o komunikację i motywację
- który
- będzie
- w
- martwiąc
- napisał
- zefirnet
