Un troian de 20 de ani a reapărut recent cu noi variante care vizează Linux și uzurpă identitatea unui domeniu găzduit de încredere pentru a evita detectarea.
Cercetătorii de la Palo Alto Networks au descoperit o nouă variantă Linux a sistemului Malware Bifrost (alias Bifrose). care folosește o practică înșelătoare cunoscută ca tipografiere pentru a imita un domeniu VMware legitim, care permite malware-ului să treacă sub radar. Bifrost este un troian de acces la distanță (RAT) care este activ din 2004 și adună informații sensibile, cum ar fi numele de gazdă și adresa IP, dintr-un sistem compromis.
În ultimele luni, a existat o creștere îngrijorătoare a variantelor Bifrost Linux: Palo Alto Networks a detectat mai mult de 100 de exemple de eșantioane Bifrost, ceea ce „crește îngrijorări în rândul experților și organizațiilor în securitate”, au scris cercetătorii Anmol Murya și Siddharth Sharma în documentul companiei. descoperiri nou publicate.
Mai mult, există dovezi că atacatorii cibernetici urmăresc să extindă și mai mult suprafața de atac a lui Bifrost, folosind o adresă IP rău intenționată asociată cu o variantă Linux care găzduiește și o versiune ARM a Bifrost, au spus aceștia.
„Prin furnizarea unei versiuni ARM a malware-ului, atacatorii își pot extinde înțelegerea, compromițând dispozitivele care ar putea să nu fie compatibile cu malware-ul bazat pe x86”, au explicat cercetătorii. „Pe măsură ce dispozitivele bazate pe ARM devin mai comune, infractorii cibernetici își vor schimba probabil tactica pentru a include malware bazat pe ARM, făcând atacurile lor mai puternice și capabile să atingă mai multe ținte.”
Distribuție și infecție
Atacatorii distribuie de obicei Bifrost prin atașamente de e-mail sau site-uri web rău intenționate, au remarcat cercetătorii, deși nu au detaliat vectorul de atac inițial pentru variantele Linux nou apărute.
Cercetătorii de la Palo Alto au observat un eșantion de Bifrost găzduit pe un server la domeniul 45.91.82[.]127. Odată instalat pe computerul unei victime, Bifrost ajunge la un domeniu de comandă și control (C2) cu un nume înșelător, download.vmfare[.]com, care pare similar cu un domeniu VMware legitim. Malware-ul colectează datele utilizatorului pentru a le trimite înapoi la acest server, folosind criptarea RC4 pentru a cripta datele.
„Malware-ul adoptă adesea nume de domenii înșelătoare, cum ar fi C2, în loc de adrese IP, pentru a evita detectarea și pentru a face mai dificil pentru cercetători să urmărească sursa activității rău intenționate”, au scris cercetătorii.
De asemenea, au observat că malware-ul încearcă să contacteze un solutor DNS public din Taiwan cu adresa IP 168.95.1[.]1. Malware-ul folosește soluția pentru a iniția o interogare DNS pentru a rezolva domeniul download.vmfare[.]com, un proces care este crucial pentru a se asigura că Bifrost se poate conecta cu succes la destinația dorită, potrivit cercetătorilor.
Protejarea datelor sensibile
Deși poate fi un vechi când vine vorba de malware, Bifrost RAT rămâne o amenințare semnificativă și în evoluție atât pentru indivizi cât și pentru organizații, în special cu noile variante care adoptă tipografiere pentru a evita detectarea, au spus cercetătorii.
„Urmărirea și contracararea programelor malware precum Bifrost este crucială pentru protejarea datelor sensibile și pentru păstrarea integrității sistemelor informatice”, au scris ei. „Acest lucru ajută, de asemenea, la minimizarea probabilității accesului neautorizat și a vătămării ulterioare.”
În postarea lor, cercetătorii au distribuit o listă de indicatori de compromis, inclusiv mostre de malware și adrese de domenii și IP asociate cu cele mai recente variante Bifrost Linux. Cercetătorii sfătuiesc că întreprinderile utilizează produse firewall de ultimă generație și servicii de securitate specifice cloud — inclusiv filtrarea adreselor URL, aplicațiile de prevenire a malware-ului și vizibilitatea și analizele — pentru a securiza mediile cloud.
În cele din urmă, procesul de infecție permite malware-ului să ocolească măsurile de securitate și să evite detectarea și, în cele din urmă, să compromită sistemele vizate, au spus cercetătorii.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :are
- :este
- :nu
- 100
- 7
- 91
- a
- Capabil
- acces
- Conform
- activ
- activitate
- adresa
- adrese
- Adoptarea
- sfătui
- urmări
- Propriul rol
- deopotrivă
- permite
- de asemenea
- printre
- an
- Google Analytics
- și
- apare
- aplicatii
- ARM
- AS
- asociate
- At
- ataca
- Atacuri
- înapoi
- BE
- deveni
- fost
- Bifrost
- by
- by-pass
- CAN
- Schimbare
- Cloud
- vine
- Comun
- companie
- compatibil
- compromis
- compromis
- compromisor
- calculator
- preocupările
- Conectați
- contactați-ne
- crucial
- cybercriminals
- de date
- destinație
- detectat
- Detectare
- Dispozitive
- nu
- dificil
- distribui
- distribuire
- dns
- domeniu
- NUMELE DE DOMENIU
- Descarca
- în timpul
- Elaborat
- criptați
- criptare
- asigura
- Companii
- medii
- sustrage
- Chiar
- dovadă
- evoluție
- Extinde
- experți
- a explicat
- puțini
- filtrare
- constatările
- firewall
- Pentru
- din
- mai mult
- înţelege
- rău
- ajută
- găzduit
- găzduire
- HTTPS
- juca rolul
- in
- include
- Inclusiv
- Indicatorii
- persoane fizice
- informații
- inițială
- iniția
- instalat
- in schimb
- integritate
- destinate
- IP
- Adresa IP
- Adresele IP
- IT
- ESTE
- cunoscut
- Ultimele
- legitim
- ca
- probabilitate
- Probabil
- linux
- Listă
- face
- Efectuarea
- rău
- malware
- Mai..
- măsuri
- minimaliza
- luni
- mai mult
- nume
- nume
- rețele
- Nou
- recent
- generație următoare
- notat
- of
- de multe ori
- on
- dată
- or
- organizații
- afară
- Palo Alto
- în special
- trecut
- Plato
- Informații despre date Platon
- PlatoData
- Post
- practică
- păstrarea
- proces
- Produse
- furnizarea
- public
- publicat
- întrebare
- radar
- ridică
- ŞOBOLAN
- ajunge
- aTINGE
- recent
- rămășițe
- la distanta
- acces de la distanță
- cercetători
- rezolvă
- s
- salvgardare
- Said
- probă
- sigur
- securitate
- Măsuri de securitate
- trimite
- sensibil
- serverul
- comun
- Sharma
- semnificativ
- asemănător
- întrucât
- Sursă
- cui
- puternic
- ulterior
- Reușit
- astfel de
- Suprafață
- sistem
- sisteme
- tactică
- Ţintă
- vizate
- obiective
- decât
- acea
- Sursa
- lor
- Acolo.
- ei
- acest
- deşi?
- amenințare
- Prin
- la
- Urmă
- Urmărire
- troian
- de încredere
- încercat
- tipic
- în cele din urmă
- neautorizat
- în
- URL-ul
- utilizare
- Utilizator
- utilizări
- folosind
- Variantă
- versiune
- de
- Victimă
- vizibilitate
- VMware
- site-uri web
- BINE
- cand
- care
- voi
- cu
- îngrijorător
- scris
- zephyrnet
