Недавно появился троянец 20-летней давности с новыми вариантами, нацеленными на Linux и выдающими себя за доверенный хостинговый домен, чтобы избежать обнаружения.
Исследователи из Palo Alto Networks обнаружили новый вариант Linux Вредоносное ПО Bifrost (также известное как Bifrose) который использует обманную практику, известную как Typosquatting для имитации законного домена VMware, что позволяет вредоносному ПО оставаться незамеченным. Bifrost — это троян удаленного доступа (RAT), который действует с 2004 года и собирает конфиденциальную информацию, такую как имя хоста и IP-адрес, из скомпрометированной системы.
За последние несколько месяцев произошел тревожный всплеск вариантов Bifrost Linux: Palo Alto Networks обнаружила более 100 экземпляров Bifrost, что «вызывает обеспокоенность среди экспертов и организаций по безопасности», пишут исследователи Анмол Мурья и Сиддхарт Шарма в отчете компании. недавно опубликованные результаты.
Более того, есть свидетельства того, что киберзлоумышленники стремятся еще больше расширить поверхность атаки Bifrost, используя вредоносный IP-адрес, связанный с вариантом Linux, на котором также размещена версия Bifrost для ARM, говорят они.
«Предоставляя ARM-версию вредоносного ПО, злоумышленники могут расширить свои возможности, ставя под угрозу устройства, которые могут быть несовместимы с вредоносным ПО на базе x86», — объяснили исследователи. «Поскольку устройства на базе ARM становятся все более распространенными, киберпреступники, вероятно, изменят свою тактику, включив в нее вредоносное ПО на базе ARM, что сделает их атаки более сильными и позволит достичь большего количества целей».
Распространение и заражение
Исследователи отметили, что злоумышленники обычно распространяют Bifrost через вложения электронной почты или вредоносные веб-сайты, хотя они не уточнили первоначальный вектор атаки для недавно появившихся вариантов Linux.
Исследователи из Пало-Альто обнаружили образец Bifrost, размещенный на сервере в домене 45.91.82[.]127. После установки на компьютер жертвы Bifrost обращается к домену управления и контроля (C2) с обманчивым именем download.vmfare[.]com, которое похоже на законный домен VMware. Вредоносная программа собирает пользовательские данные для отправки обратно на этот сервер, используя шифрование RC4 для шифрования данных.
«Вредоносное ПО часто использует такие вводящие в заблуждение доменные имена, как C2, вместо IP-адресов, чтобы избежать обнаружения и затруднить исследователям отслеживание источника вредоносной активности», — пишут исследователи.
Они также заметили, что вредоносное ПО пыталось связаться с тайваньским общедоступным преобразователем DNS с IP-адресом 168.95.1[.]1. По мнению исследователей, вредоносная программа использует преобразователь для инициирования DNS-запроса для разрешения домена download.vmfare[.]com. Этот процесс имеет решающее значение для обеспечения успешного подключения Bifrost к намеченному месту назначения.
Защита конфиденциальных данных
Хотя Bifrost RAT и является старожилом в области вредоносных программ, он остается серьезной и развивающейся угрозой как для отдельных лиц, так и для организаций, особенно с появлением новых вариантов. Typosquatting чтобы избежать обнаружения, говорят исследователи.
«Отслеживание и противодействие таким вредоносным программам, как Bifrost, имеет решающее значение для защиты конфиденциальных данных и целостности компьютерных систем», — написали они. «Это также помогает минимизировать вероятность несанкционированного доступа и последующего вреда».
В своем сообщении исследователи поделились списком индикаторов компрометации, включая образцы вредоносного ПО, а также доменные и IP-адреса, связанные с последними вариантами Bifrost Linux. Исследователи советуют предприятиям использовать брандмауэры следующего поколения и облачные службы безопасности — включая фильтрацию URL-адресов, приложения для предотвращения вредоносного ПО, а также средства обеспечения видимости и аналитики — для защиты облачных сред.
По словам исследователей, в конечном итоге процесс заражения позволяет вредоносному ПО обходить меры безопасности и уклоняться от обнаружения, что в конечном итоге ставит под угрозу целевые системы.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :имеет
- :является
- :нет
- 100
- 7
- 91
- a
- в состоянии
- доступ
- По
- активный
- деятельность
- адрес
- адреса
- Принятие
- консультировать
- цель
- ака
- одинаково
- позволяет
- причислены
- среди
- an
- аналитика
- и
- появляется
- Приложения
- ARM
- AS
- связанный
- At
- атаковать
- нападки
- назад
- BE
- становиться
- было
- Bifrost
- by
- байпас
- CAN
- изменение
- облако
- выходит
- Общий
- Компания
- совместим
- скомпрометированы
- Ослабленный
- компромат
- компьютер
- Обеспокоенность
- Свяжитесь
- обращайтесь
- решающее значение
- киберпреступники
- данным
- назначение
- обнаруженный
- обнаружение
- Устройства
- А не было
- трудный
- распространять
- распределение
- DNS
- домен
- ДОМЕННЫЕ ИМЕНА
- скачать
- в течение
- Разрабатывать
- шифровать
- шифрование
- обеспечивать
- предприятий
- средах
- Evade
- Даже
- , поскольку большинство сенаторов
- развивается
- Расширьте
- эксперты
- объяснены
- несколько
- фильтрация
- результаты
- брандмауэр
- Что касается
- от
- далее
- схватывание
- вред
- помогает
- состоялся
- хостинг
- HTTPS
- олицетворять
- in
- включают
- В том числе
- индикаторы
- лиц
- информация
- начальный
- инициировать
- установлен
- вместо
- целостность
- предназначенных
- IP
- IP-адрес
- IP-адреса
- IT
- ЕГО
- известный
- последний
- законный
- такое как
- вероятность
- Вероятно
- Linux
- Список
- сделать
- Создание
- злонамеренный
- вредоносных программ
- Май..
- меры
- минимизировать
- месяцев
- БОЛЕЕ
- имя
- имена
- сетей
- Новые
- вновь
- следующее поколение
- отметил,
- of
- .
- on
- консолидировать
- or
- организации
- внешний
- Пало-Альто
- особенно
- мимо
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- После
- практика
- консервирование
- процесс
- Продукция
- обеспечение
- что такое варган?
- опубликованный
- запрос
- радар
- повышения
- RAT
- достигать
- доходит до
- недавно
- остатки
- удаленные
- удаленный доступ
- исследователи
- решение
- s
- охрана
- Сказал
- образец
- безопасный
- безопасность
- Меры безопасности
- Отправить
- чувствительный
- сервер
- общие
- Шарма
- значительный
- аналогичный
- с
- Источник
- шип
- сильнее
- последующее
- Успешно
- такие
- Поверхность
- система
- системы
- тактика
- цель
- целевое
- направлена против
- чем
- который
- Ассоциация
- Источник
- их
- Там.
- они
- этой
- хоть?
- угроза
- Через
- в
- Прослеживать
- Отслеживание
- троянец
- надежных
- пытается
- типично
- В конечном счете
- неразрешенный
- под
- URL
- использование
- Информация о пользователе
- использования
- через
- Вариант
- версия
- с помощью
- Жертва
- видимость
- VMware
- веб-сайты
- ЧТО Ж
- когда
- который
- будете
- беспокоиться
- писал
- зефирнет