20 let star trojanec se je nedavno ponovno pojavil z novimi različicami, ki ciljajo na Linux in se predstavljajo kot zaupanja vredna gostujoča domena, da bi se izognili odkrivanju.
Raziskovalci iz Palo Alto Networks so opazili novo različico Linuxa Zlonamerna programska oprema Bifrost (aka Bifrose). ki uporablja zavajajočo prakso, znano kot tiposkvat za posnemanje zakonite domene VMware, ki zlonamerni programski opremi omogoča, da uleti izpod radarja. Bifrost je trojanec z oddaljenim dostopom (RAT), ki je aktiven od leta 2004 in zbira občutljive podatke, kot sta ime gostitelja in naslov IP, iz ogroženega sistema.
V zadnjih nekaj mesecih je prišlo do zaskrbljujočega skoka v različicah Bifrost Linuxa: Palo Alto Networks je odkril več kot 100 primerkov vzorcev Bifrosta, kar "vzbuja zaskrbljenost med varnostnimi strokovnjaki in organizacijami," sta zapisala raziskovalca Anmol Murya in Siddharth Sharma v podjetju na novo objavljene ugotovitve.
Poleg tega obstajajo dokazi, da želijo kibernetski napadalci še bolj razširiti Bifrostovo napadalno površino z uporabo zlonamernega naslova IP, povezanega z različico Linuxa, ki gosti tudi različico Bifrosta ARM, so povedali.
"Z zagotavljanjem različice zlonamerne programske opreme ARM lahko napadalci razširijo svoj doseg in ogrozijo naprave, ki morda niso združljive z zlonamerno programsko opremo, ki temelji na x86," so pojasnili raziskovalci. "Ker postajajo naprave, ki temeljijo na ARM, pogostejše, bodo kibernetski kriminalci verjetno spremenili svojo taktiko in vključili zlonamerno programsko opremo, ki temelji na ARM, zaradi česar bodo njihovi napadi močnejši in bodo lahko dosegli več ciljev."
Porazdelitev in okužba
Napadalci običajno distribuirajo Bifrost prek e-poštnih prilog ali zlonamernih spletnih mest, ugotavljajo raziskovalci, čeprav niso podrobneje opisali začetnega vektorja napada za na novo prikazane različice Linuxa.
Raziskovalci iz Palo Alta so opazili vzorec Bifrosta, ki gostuje na strežniku na domeni 45.91.82[.]127. Ko je Bifrost nameščen na žrtvin računalnik, doseže domeno ukazov in nadzora (C2) z zavajajočim imenom download.vmfare[.]com, ki je videti podobno zakoniti domeni VMware. Zlonamerna programska oprema zbira uporabniške podatke za pošiljanje nazaj na ta strežnik, pri čemer uporablja šifriranje RC4 za šifriranje podatkov.
"Zlonamerna programska oprema namesto naslovov IP pogosto uporablja tako zavajajoča imena domen, kot je C2, da bi se izognila odkrivanju in raziskovalcem otežila izsleditev vira zlonamerne dejavnosti," so zapisali raziskovalci.
Opazili so tudi, da zlonamerna programska oprema poskuša vzpostaviti stik s tajvanskim javnim razreševalcem DNS z naslovom IP 168.95.1[.]1. Zlonamerna programska oprema uporablja razreševalnik za sprožitev poizvedbe DNS za razrešitev domene download.vmfare[.]com, proces, ki je ključnega pomena za zagotovitev, da se Bifrost lahko uspešno poveže s predvideno destinacijo, pravijo raziskovalci.
Varovanje občutljivih podatkov
Čeprav je morda starodobnik, ko gre za zlonamerno programsko opremo, Bifrost RAT ostaja pomembna in razvijajoča se grožnja posameznikom in organizacijam, zlasti z novimi različicami, ki se uporabljajo tiposkvat da bi se izognili odkrivanju, so povedali raziskovalci.
"Sledenje in preprečevanje zlonamerne programske opreme, kot je Bifrost, je ključnega pomena za varovanje občutljivih podatkov in ohranjanje celovitosti računalniških sistemov," so zapisali. "To tudi pomaga zmanjšati verjetnost nepooblaščenega dostopa in posledične škode."
V svoji objavi so raziskovalci delili seznam indikatorjev ogroženosti, vključno z vzorci zlonamerne programske opreme ter naslovi domen in IP, povezanimi z najnovejšimi različicami Bifrost Linuxa. Raziskovalci svetujejo, naj podjetja uporabljajo izdelke požarnega zidu naslednje generacije in varnostne storitve, specifične za oblak — vključno s filtriranjem URL-jev, aplikacijami za preprečevanje zlonamerne programske opreme ter vidnostjo in analitiko — za varna okolja v oblaku.
Navsezadnje proces okužbe omogoča zlonamerni programski opremi, da obide varnostne ukrepe in se izogne odkrivanju ter na koncu ogrozi ciljne sisteme, pravijo raziskovalci.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :ima
- : je
- :ne
- 100
- 7
- 91
- a
- Sposobna
- dostop
- Po
- aktivna
- dejavnost
- Naslov
- naslovi
- Sprejem
- svetuje
- Cilj
- aka
- podobno
- omogoča
- Prav tako
- med
- an
- analitika
- in
- se prikaže
- aplikacije
- ARM
- AS
- povezan
- At
- napad
- Napadi
- nazaj
- BE
- postanejo
- bilo
- Bifrost
- by
- bypass
- CAN
- spremenite
- Cloud
- prihaja
- Skupno
- podjetje
- združljiv
- Kompromis
- Ogroženo
- ogrozili
- računalnik
- Skrbi
- Connect
- kontakt
- ključnega pomena
- cybercriminals
- datum
- destinacija
- Zaznali
- Odkrivanje
- naprave
- ni
- težko
- distribuirati
- distribucija
- dns
- domena
- IMENA DOMEN
- prenesi
- med
- Izdelati
- E-naslov
- šifriranje
- šifriranje
- zagotovitev
- podjetja
- okolja
- izmikati
- Tudi
- dokazi
- razvija
- Razširi
- Strokovnjaki
- razložiti
- Nekaj
- filtriranje
- Ugotovitve
- požarni zid
- za
- iz
- nadalje
- prijem
- škodovalo
- Pomaga
- gostila
- gostovanje
- HTTPS
- predstavljati
- in
- vključujejo
- Vključno
- kazalniki
- posamezniki
- Podatki
- začetna
- sproži
- nameščen
- Namesto
- celovitost
- namenjen
- IP
- IP naslov
- IP naslovi
- IT
- ITS
- znano
- Zadnji
- legitimno
- kot
- verjetnost
- Verjeten
- linux
- Seznam
- Znamka
- Izdelava
- zlonamerno
- zlonamerna programska oprema
- Maj ..
- ukrepe
- zmanjšajo
- mesecev
- več
- Ime
- Imena
- omrežij
- Novo
- na novo
- Naslednja generacija
- opozoriti
- of
- pogosto
- on
- enkrat
- or
- organizacije
- ven
- Palo Alto
- zlasti
- preteklosti
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Prispevek
- praksa
- ohranjanje
- Postopek
- Izdelki
- zagotavljanje
- javnega
- objavljeno
- poizvedba
- radar
- povečuje
- PODGANA
- dosežejo
- Doseže
- Pred kratkim
- ostanki
- daljinsko
- Remote Access
- raziskovalci
- reševanje
- s
- varovanje
- Je dejal
- Vzorec
- zavarovanje
- varnost
- Varnostni ukrepi
- pošljite
- občutljiva
- strežnik
- deli
- Šarma
- pomemben
- Podoben
- saj
- vir
- spike
- močnejši
- kasneje
- Uspešno
- taka
- Površina
- sistem
- sistemi
- taktike
- ciljna
- ciljno
- Cilji
- kot
- da
- O
- Vir
- njihove
- Tukaj.
- jih
- ta
- čeprav?
- Grožnja
- skozi
- do
- Trace
- Sledenje
- Trojan
- zaupa
- poskuša
- tipično
- Konec koncev
- nepooblaščeno
- pod
- URL
- uporaba
- uporabnik
- uporablja
- uporabo
- Variant
- različica
- preko
- Žrtva
- vidljivost
- VMware
- spletne strani
- Dobro
- kdaj
- ki
- bo
- z
- zaskrbljujoče
- Napisal
- zefirnet
