Варианты обнаружения трояна Bifrost для Linux с помощью тайпсквоттинга

Недавно появился троянец 20-летней давности с новыми вариантами, нацеленными на Linux и выдающими себя за доверенный хостинговый домен, чтобы избежать обнаружения.

Исследователи из Palo Alto Networks обнаружили новый вариант Linux Вредоносное ПО Bifrost (также известное как Bifrose) который использует обманную практику, известную как Typosquatting для имитации законного домена VMware, что позволяет вредоносному ПО оставаться незамеченным. Bifrost — это троян удаленного доступа (RAT), который действует с 2004 года и собирает конфиденциальную информацию, такую ​​как имя хоста и IP-адрес, из скомпрометированной системы.

За последние несколько месяцев произошел тревожный всплеск вариантов Bifrost Linux: Palo Alto Networks обнаружила более 100 экземпляров Bifrost, что «вызывает обеспокоенность среди экспертов и организаций по безопасности», пишут исследователи Анмол Мурья и Сиддхарт Шарма в отчете компании. недавно опубликованные результаты.

Более того, есть свидетельства того, что киберзлоумышленники стремятся еще больше расширить поверхность атаки Bifrost, используя вредоносный IP-адрес, связанный с вариантом Linux, на котором также размещена версия Bifrost для ARM, говорят они.

«Предоставляя ARM-версию вредоносного ПО, злоумышленники могут расширить свои возможности, ставя под угрозу устройства, которые могут быть несовместимы с вредоносным ПО на базе x86», — объяснили исследователи. «Поскольку устройства на базе ARM становятся все более распространенными, киберпреступники, вероятно, изменят свою тактику, включив в нее вредоносное ПО на базе ARM, что сделает их атаки более сильными и позволит достичь большего количества целей».

Распространение и заражение

Исследователи отметили, что злоумышленники обычно распространяют Bifrost через вложения электронной почты или вредоносные веб-сайты, хотя они не уточнили первоначальный вектор атаки для недавно появившихся вариантов Linux.

Исследователи из Пало-Альто обнаружили образец Bifrost, размещенный на сервере в домене 45.91.82[.]127. После установки на компьютер жертвы Bifrost обращается к домену управления и контроля (C2) с обманчивым именем download.vmfare[.]com, которое похоже на законный домен VMware. Вредоносная программа собирает пользовательские данные для отправки обратно на этот сервер, используя шифрование RC4 для шифрования данных.

«Вредоносное ПО часто использует такие вводящие в заблуждение доменные имена, как C2, вместо IP-адресов, чтобы избежать обнаружения и затруднить исследователям отслеживание источника вредоносной активности», — пишут исследователи.

Они также заметили, что вредоносное ПО пыталось связаться с тайваньским общедоступным преобразователем DNS с IP-адресом 168.95.1[.]1. По мнению исследователей, вредоносная программа использует преобразователь для инициирования DNS-запроса для разрешения домена download.vmfare[.]com. Этот процесс имеет решающее значение для обеспечения успешного подключения Bifrost к намеченному месту назначения.

Защита конфиденциальных данных

Хотя Bifrost RAT и является старожилом в области вредоносных программ, он остается серьезной и развивающейся угрозой как для отдельных лиц, так и для организаций, особенно с появлением новых вариантов. Typosquatting чтобы избежать обнаружения, говорят исследователи.

«Отслеживание и противодействие таким вредоносным программам, как Bifrost, имеет решающее значение для защиты конфиденциальных данных и целостности компьютерных систем», — написали они. «Это также помогает минимизировать вероятность несанкционированного доступа и последующего вреда».

В своем сообщении исследователи поделились списком индикаторов компрометации, включая образцы вредоносного ПО, а также доменные и IP-адреса, связанные с последними вариантами Bifrost Linux. Исследователи советуют предприятиям использовать брандмауэры следующего поколения и облачные службы безопасности — включая фильтрацию URL-адресов, приложения для предотвращения вредоносного ПО, а также средства обеспечения видимости и аналитики — для защиты облачных сред.

По словам исследователей, в конечном итоге процесс заражения позволяет вредоносному ПО обходить меры безопасности и уклоняться от обнаружения, что в конечном итоге ставит под угрозу целевые системы.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-