Linux-varianter av Bifrost Trojan Undvik Detektion via Typosquatting

En 20-årig trojan återuppstod nyligen med nya varianter som riktar sig mot Linux och imiterar en pålitlig värddomän för att undvika upptäckt.

Forskare från Palo Alto Networks upptäckte en ny Linux-variant av Bifrost (alias Bifrose) skadlig programvara som använder en vilseledande praxis som kallas typskattning för att efterlikna en legitim VMware-domän, som gör att skadlig programvara kan flyga under radarn. Bifrost är en fjärråtkomsttrojan (RAT) som har varit aktiv sedan 2004 och samlar in känslig information, såsom värdnamn och IP-adress, från ett intrång i systemet.

Det har skett en oroande ökning i Bifrost Linux-varianter under de senaste månaderna: Palo Alto Networks har upptäckt mer än 100 fall av Bifrost-prover, vilket "väcker oro bland säkerhetsexperter och organisationer", skrev forskarna Anmol Murya och Siddharth Sharma i företagets rapport. nyligen publicerade fynd.

Dessutom finns det bevis för att cyberattackare siktar på att utöka Bifrosts attackyta ytterligare, med hjälp av en skadlig IP-adress associerad med en Linux-variant som också är värd för en ARM-version av Bifrost, sa de.

"Genom att tillhandahålla en ARM-version av skadlig programvara kan angripare utöka sitt grepp och äventyra enheter som kanske inte är kompatibla med x86-baserad skadlig programvara", förklarade forskarna. "När ARM-baserade enheter blir vanligare kommer cyberkriminella sannolikt att ändra sin taktik till att inkludera ARM-baserad skadlig programvara, vilket gör deras attacker starkare och kan nå fler mål."

Distribution och infektion

Angripare distribuerar vanligtvis Bifrost genom e-postbilagor eller skadliga webbplatser, noterade forskarna, även om de inte utvecklade den initiala attackvektorn för de nyligen uppkomna Linux-varianterna.

Palo Alto-forskare observerade ett urval av Bifrost på en server på domänen 45.91.82[.]127. När det väl har installerats på ett offers dator, når Bifrost ut till en kommando-och-kontroll-domän (C2) med ett vilseledande namn, download.vmfare[.]com, som liknar en legitim VMware-domän. Skadlig programvara samlar in användardata för att skicka tillbaka till denna server, med hjälp av RC4-kryptering för att kryptera data.

"Den skadliga programvaran använder ofta så bedrägliga domännamn som C2 istället för IP-adresser för att undvika upptäckt och göra det svårare för forskare att spåra källan till den skadliga aktiviteten", skrev forskarna.

De observerade också att skadlig programvara försökte kontakta en Taiwan-baserad offentlig DNS-resolver med IP-adressen 168.95.1[.]1. Skadlig programvara använder resolvern för att initiera en DNS-fråga för att lösa domänen download.vmfare[.]com, en process som är avgörande för att säkerställa att Bifrost framgångsrikt kan ansluta till sin avsedda destination, enligt forskarna.

Skydda känsliga data

Även om det kan vara en gammaldags när det gäller skadlig programvara, förblir Bifrost RAT ett betydande och utvecklande hot mot både individer och organisationer, särskilt med nya varianter som antar typskattning för att undvika upptäckt, sa forskarna.

"Att spåra och motverka skadlig programvara som Bifrost är avgörande för att skydda känslig data och bevara integriteten hos datorsystem", skrev de. "Detta hjälper också till att minimera sannolikheten för obehörig åtkomst och efterföljande skada."

I sitt inlägg delade forskarna en lista över indikatorer på kompromiss, inklusive prover på skadlig programvara och domän- och IP-adresser associerade med de senaste Bifrost Linux-varianterna. Forskarna rekommenderar att företag använder nästa generations brandväggsprodukter och molnspecifika säkerhetstjänster – inklusive URL-filtrering, applikationer för att förebygga skadlig programvara och synlighet och analys – för att säkra molnmiljöer.

I slutändan gör infektionsprocessen det möjligt för skadlig programvara att kringgå säkerhetsåtgärder och undvika upptäckt, och i slutändan äventyra riktade system, sa forskarna.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-