โทรจันอายุ 20 ปีปรากฏขึ้นอีกครั้งเมื่อเร็ว ๆ นี้พร้อมกับตัวแปรใหม่ที่กำหนดเป้าหมายไปที่ Linux และแอบอ้างเป็นโดเมนที่โฮสต์ที่เชื่อถือได้เพื่อหลบเลี่ยงการตรวจจับ
นักวิจัยจาก Palo Alto Networks พบระบบปฏิบัติการ Linux เวอร์ชันใหม่ มัลแวร์ Bifrost (aka Bifrose) ที่ใช้วิธีปฏิบัติอันหลอกลวงที่เรียกว่า การพิมพ์ผิด เพื่อเลียนแบบโดเมน VMware ที่ถูกต้องตามกฎหมาย ซึ่งช่วยให้มัลแวร์ลอยอยู่ใต้เรดาร์ได้ Bifrost เป็นโทรจันการเข้าถึงระยะไกล (RAT) ที่ใช้งานมาตั้งแต่ปี 2004 และรวบรวมข้อมูลที่ละเอียดอ่อน เช่น ชื่อโฮสต์และที่อยู่ IP จากระบบที่ถูกบุกรุก
ในช่วงไม่กี่เดือนที่ผ่านมา มีการเพิ่มขึ้นของ Bifrost Linux ที่น่ากังวล: Palo Alto Networks ตรวจพบตัวอย่าง Bifrost มากกว่า 100 ตัวอย่าง ซึ่ง “ทำให้เกิดความกังวลในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยและองค์กรต่างๆ” นักวิจัย Anmol Murya และ Siddharth Sharma เขียนไว้ในรายงานของบริษัท ผลการวิจัยที่เผยแพร่ใหม่
นอกจากนี้ยังมีหลักฐานว่าผู้โจมตีทางไซเบอร์มีเป้าหมายที่จะขยายขอบเขตการโจมตีของ Bifrost ให้ไกลยิ่งขึ้น โดยใช้ที่อยู่ IP ที่เป็นอันตรายซึ่งเชื่อมโยงกับตัวแปร Linux ที่โฮสต์ Bifrost เวอร์ชัน ARM เช่นกัน พวกเขากล่าว
“ด้วยการจัดหามัลแวร์เวอร์ชัน ARM ผู้โจมตีสามารถขยายขอบเขตการเข้าถึงอุปกรณ์ที่อาจเข้ากันไม่ได้กับมัลแวร์ที่ใช้ x86” นักวิจัยอธิบาย “ในขณะที่อุปกรณ์ที่ใช้ ARM กลายเป็นเรื่องปกติมากขึ้น อาชญากรไซเบอร์มีแนวโน้มที่จะเปลี่ยนกลยุทธ์ของตนให้รวมมัลแวร์ที่ใช้ ARM เข้าไปด้วย ทำให้การโจมตีแข็งแกร่งขึ้นและสามารถเข้าถึงเป้าหมายได้มากขึ้น”
การแพร่กระจายและการติดเชื้อ
โดยทั่วไปแล้วผู้โจมตีจะเผยแพร่ Bifrost ผ่านไฟล์แนบอีเมลหรือเว็บไซต์ที่เป็นอันตราย นักวิจัยตั้งข้อสังเกต แม้ว่าจะไม่ได้อธิบายรายละเอียดเกี่ยวกับเวกเตอร์การโจมตีเริ่มแรกสำหรับเวอร์ชัน Linux ที่เพิ่งเปิดตัวก็ตาม
นักวิจัยของพาโลอัลโตสังเกตตัวอย่างของ Bifrost ที่โฮสต์บนเซิร์ฟเวอร์ที่โดเมน 45.91.82[.]127 เมื่อติดตั้งบนคอมพิวเตอร์ของเหยื่อแล้ว Bifrost จะเข้าถึงโดเมน command-and-control (C2) ที่มีชื่อหลอกลวง download.vmfare[.]com ซึ่งดูเหมือนกับโดเมน VMware ที่ถูกต้องตามกฎหมาย มัลแวร์รวบรวมข้อมูลผู้ใช้เพื่อส่งกลับไปยังเซิร์ฟเวอร์นี้โดยใช้การเข้ารหัส RC4 เพื่อเข้ารหัสข้อมูล
“มัลแวร์มักจะใช้ชื่อโดเมนหลอกลวงเช่น C2 แทนที่อยู่ IP เพื่อหลบเลี่ยงการตรวจจับ และทำให้ยากขึ้นสำหรับนักวิจัยในการติดตามแหล่งที่มาของกิจกรรมที่เป็นอันตราย” นักวิจัยเขียน
พวกเขายังสังเกตเห็นมัลแวร์พยายามติดต่อกับรีโซลเวอร์ DNS สาธารณะในไต้หวันด้วยที่อยู่ IP 168.95.1[.]1 นักวิจัยระบุว่ามัลแวร์ใช้ตัวแก้ไขเพื่อเริ่มต้นการสืบค้น DNS เพื่อแก้ไขโดเมน download.vmfare[.]com ซึ่งเป็นกระบวนการที่สำคัญเพื่อให้แน่ใจว่า Bifrost สามารถเชื่อมต่อกับปลายทางที่ต้องการได้สำเร็จ
การปกป้องข้อมูลที่ละเอียดอ่อน
แม้ว่าอาจเป็นเรื่องเก่าเมื่อพูดถึงมัลแวร์ แต่ Bifrost RAT ยังคงเป็นภัยคุกคามที่สำคัญและกำลังพัฒนาต่อบุคคลและองค์กร โดยเฉพาะอย่างยิ่งเมื่อมีรูปแบบใหม่ๆ มาใช้ การพิมพ์ผิด เพื่อหลบเลี่ยงการตรวจจับ นักวิจัยกล่าว
“การติดตามและการต่อต้านมัลแวร์เช่น Bifrost มีความสำคัญอย่างยิ่งในการปกป้องข้อมูลที่ละเอียดอ่อนและรักษาความสมบูรณ์ของระบบคอมพิวเตอร์” พวกเขาเขียน “สิ่งนี้ยังช่วยลดโอกาสของการเข้าถึงโดยไม่ได้รับอนุญาตและอันตรายที่ตามมาด้วย”
ในโพสต์ นักวิจัยได้แชร์รายการตัวบ่งชี้ของการบุกรุก รวมถึงตัวอย่างมัลแวร์ โดเมน และที่อยู่ IP ที่เกี่ยวข้องกับ Bifrost Linux เวอร์ชันล่าสุด นักวิจัยแนะนำว่าองค์กรต่างๆ ใช้ผลิตภัณฑ์ไฟร์วอลล์ยุคหน้าและ บริการรักษาความปลอดภัยเฉพาะระบบคลาวด์ — รวมถึงการกรอง URL แอปพลิเคชันป้องกันมัลแวร์ และการมองเห็นและการวิเคราะห์ — เพื่อความปลอดภัยของระบบคลาวด์
ท้ายที่สุดแล้ว กระบวนการติดไวรัสทำให้มัลแวร์สามารถเลี่ยงมาตรการรักษาความปลอดภัย และหลบเลี่ยงการตรวจจับ และท้ายที่สุดก็ประนีประนอมระบบเป้าหมายได้ นักวิจัยกล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :มี
- :เป็น
- :ไม่
- 100
- 7
- 91
- a
- สามารถ
- เข้า
- ตาม
- คล่องแคล่ว
- อยากทำกิจกรรม
- ที่อยู่
- ที่อยู่
- การนำ
- แนะนำ
- จุดมุ่งหมาย
- อาคา
- เหมือนกัน
- ช่วยให้
- ด้วย
- ในหมู่
- an
- การวิเคราะห์
- และ
- ปรากฏ
- การใช้งาน
- ARM
- AS
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- กลับ
- BE
- กลายเป็น
- รับ
- Bifrost
- by
- ทางอ้อม
- CAN
- เปลี่ยนแปลง
- เมฆ
- มา
- ร่วมกัน
- บริษัท
- เข้ากันได้
- การประนีประนอม
- ที่ถูกบุกรุก
- ประนีประนอม
- คอมพิวเตอร์
- ความกังวลเกี่ยวกับ
- เชื่อมต่อ
- ติดต่อเรา
- สำคัญมาก
- อาชญากรไซเบอร์
- ข้อมูล
- ปลายทาง
- ตรวจพบ
- การตรวจพบ
- อุปกรณ์
- didn
- ยาก
- กระจาย
- การกระจาย
- DNS
- โดเมน
- ชื่อโดเมน
- ดาวน์โหลด
- ในระหว่าง
- ทำอย่างละเอียด
- อีเมล
- การเข้ารหัสลับ
- การเข้ารหัสลับ
- ทำให้มั่นใจ
- ผู้ประกอบการ
- สภาพแวดล้อม
- หลบเลี่ยง
- แม้
- หลักฐาน
- การพัฒนา
- แสดง
- ผู้เชี่ยวชาญ
- อธิบาย
- สองสาม
- กรอง
- ผลการวิจัย
- ไฟร์วอลล์
- สำหรับ
- ราคาเริ่มต้นที่
- ต่อไป
- เข้าใจ
- อันตราย
- จะช่วยให้
- เป็นเจ้าภาพ
- โฮสติ้ง
- HTTPS
- ปลอมตัว
- in
- ประกอบด้วย
- รวมทั้ง
- ตัวชี้วัด
- บุคคล
- ข้อมูล
- แรกเริ่ม
- เริ่มต้น
- การติดตั้ง
- แทน
- ความสมบูรณ์
- ตั้งใจว่า
- IP
- ที่อยู่ IP
- ที่อยู่ IP
- IT
- ITS
- ที่รู้จักกัน
- ล่าสุด
- ถูกกฎหมาย
- กดไลก์
- ความเป็นไปได้
- น่าจะ
- ลินุกซ์
- รายการ
- ทำ
- การทำ
- ที่เป็นอันตราย
- มัลแวร์
- อาจ..
- มาตรการ
- ลด
- เดือน
- ข้อมูลเพิ่มเติม
- ชื่อ
- ชื่อ
- เครือข่าย
- ใหม่
- ใหม่
- รุ่นต่อไป
- เด่น
- of
- มักจะ
- on
- ครั้งเดียว
- or
- องค์กร
- ออก
- พาโลอัลโต
- โดยเฉพาะ
- อดีต
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- โพสต์
- การปฏิบัติ
- การรักษา
- กระบวนการ
- ผลิตภัณฑ์
- การให้
- สาธารณะ
- การตีพิมพ์
- การสอบถาม
- เรดาร์
- ยก
- หนู
- มาถึง
- ต้นน้ำ
- เมื่อเร็ว ๆ นี้
- ซากศพ
- รีโมท
- การเข้าถึงระยะไกล
- นักวิจัย
- แก้ไข
- s
- การป้องกัน
- กล่าวว่า
- ตัวอย่าง
- ปลอดภัย
- ความปลอดภัย
- มาตรการรักษาความปลอดภัย
- ส่ง
- มีความละเอียดอ่อน
- เซิร์ฟเวอร์
- ที่ใช้ร่วมกัน
- Sharma
- สำคัญ
- คล้ายคลึงกัน
- ตั้งแต่
- แหล่ง
- ขัดขวาง
- แข็งแกร่ง
- ภายหลัง
- ประสบความสำเร็จ
- อย่างเช่น
- พื้นผิว
- ระบบ
- ระบบ
- กลยุทธ์
- เป้า
- เป้าหมาย
- เป้าหมาย
- กว่า
- ที่
- พื้นที่
- ที่มา
- ของพวกเขา
- ที่นั่น
- พวกเขา
- นี้
- แต่?
- การคุกคาม
- ตลอด
- ไปยัง
- ติดตาม
- การติดตาม
- โทรจัน
- ที่เชื่อถือ
- พยายาม
- เป็นปกติ
- ในที่สุด
- ไม่มีสิทธิ
- ภายใต้
- URL
- ใช้
- ผู้ใช้งาน
- ใช้
- การใช้
- ตัวแปร
- รุ่น
- ผ่านทาง
- เหยื่อ
- ความชัดเจน
- VMware
- เว็บไซต์
- ดี
- เมื่อ
- ที่
- จะ
- กับ
- น่าหนักใจ
- เขียน
- ลมทะเล