Linux Variants ของ Bifrost Trojan หลบเลี่ยงการตรวจจับผ่าน Typosquatting

โทรจันอายุ 20 ปีปรากฏขึ้นอีกครั้งเมื่อเร็ว ๆ นี้พร้อมกับตัวแปรใหม่ที่กำหนดเป้าหมายไปที่ Linux และแอบอ้างเป็นโดเมนที่โฮสต์ที่เชื่อถือได้เพื่อหลบเลี่ยงการตรวจจับ

นักวิจัยจาก Palo Alto Networks พบระบบปฏิบัติการ Linux เวอร์ชันใหม่ มัลแวร์ Bifrost (aka Bifrose) ที่ใช้วิธีปฏิบัติอันหลอกลวงที่เรียกว่า การพิมพ์ผิด เพื่อเลียนแบบโดเมน VMware ที่ถูกต้องตามกฎหมาย ซึ่งช่วยให้มัลแวร์ลอยอยู่ใต้เรดาร์ได้ Bifrost เป็นโทรจันการเข้าถึงระยะไกล (RAT) ที่ใช้งานมาตั้งแต่ปี 2004 และรวบรวมข้อมูลที่ละเอียดอ่อน เช่น ชื่อโฮสต์และที่อยู่ IP จากระบบที่ถูกบุกรุก

ในช่วงไม่กี่เดือนที่ผ่านมา มีการเพิ่มขึ้นของ Bifrost Linux ที่น่ากังวล: Palo Alto Networks ตรวจพบตัวอย่าง Bifrost มากกว่า 100 ตัวอย่าง ซึ่ง “ทำให้เกิดความกังวลในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยและองค์กรต่างๆ” นักวิจัย Anmol Murya และ Siddharth Sharma เขียนไว้ในรายงานของบริษัท ผลการวิจัยที่เผยแพร่ใหม่

นอกจากนี้ยังมีหลักฐานว่าผู้โจมตีทางไซเบอร์มีเป้าหมายที่จะขยายขอบเขตการโจมตีของ Bifrost ให้ไกลยิ่งขึ้น โดยใช้ที่อยู่ IP ที่เป็นอันตรายซึ่งเชื่อมโยงกับตัวแปร Linux ที่โฮสต์ Bifrost เวอร์ชัน ARM เช่นกัน พวกเขากล่าว

“ด้วยการจัดหามัลแวร์เวอร์ชัน ARM ผู้โจมตีสามารถขยายขอบเขตการเข้าถึงอุปกรณ์ที่อาจเข้ากันไม่ได้กับมัลแวร์ที่ใช้ x86” นักวิจัยอธิบาย “ในขณะที่อุปกรณ์ที่ใช้ ARM กลายเป็นเรื่องปกติมากขึ้น อาชญากรไซเบอร์มีแนวโน้มที่จะเปลี่ยนกลยุทธ์ของตนให้รวมมัลแวร์ที่ใช้ ARM เข้าไปด้วย ทำให้การโจมตีแข็งแกร่งขึ้นและสามารถเข้าถึงเป้าหมายได้มากขึ้น”

การแพร่กระจายและการติดเชื้อ

โดยทั่วไปแล้วผู้โจมตีจะเผยแพร่ Bifrost ผ่านไฟล์แนบอีเมลหรือเว็บไซต์ที่เป็นอันตราย นักวิจัยตั้งข้อสังเกต แม้ว่าจะไม่ได้อธิบายรายละเอียดเกี่ยวกับเวกเตอร์การโจมตีเริ่มแรกสำหรับเวอร์ชัน Linux ที่เพิ่งเปิดตัวก็ตาม

นักวิจัยของพาโลอัลโตสังเกตตัวอย่างของ Bifrost ที่โฮสต์บนเซิร์ฟเวอร์ที่โดเมน 45.91.82[.]127 เมื่อติดตั้งบนคอมพิวเตอร์ของเหยื่อแล้ว Bifrost จะเข้าถึงโดเมน command-and-control (C2) ที่มีชื่อหลอกลวง download.vmfare[.]com ซึ่งดูเหมือนกับโดเมน VMware ที่ถูกต้องตามกฎหมาย มัลแวร์รวบรวมข้อมูลผู้ใช้เพื่อส่งกลับไปยังเซิร์ฟเวอร์นี้โดยใช้การเข้ารหัส RC4 เพื่อเข้ารหัสข้อมูล

“มัลแวร์มักจะใช้ชื่อโดเมนหลอกลวงเช่น C2 แทนที่อยู่ IP เพื่อหลบเลี่ยงการตรวจจับ และทำให้ยากขึ้นสำหรับนักวิจัยในการติดตามแหล่งที่มาของกิจกรรมที่เป็นอันตราย” นักวิจัยเขียน

พวกเขายังสังเกตเห็นมัลแวร์พยายามติดต่อกับรีโซลเวอร์ DNS สาธารณะในไต้หวันด้วยที่อยู่ IP 168.95.1[.]1 นักวิจัยระบุว่ามัลแวร์ใช้ตัวแก้ไขเพื่อเริ่มต้นการสืบค้น DNS เพื่อแก้ไขโดเมน download.vmfare[.]com ซึ่งเป็นกระบวนการที่สำคัญเพื่อให้แน่ใจว่า Bifrost สามารถเชื่อมต่อกับปลายทางที่ต้องการได้สำเร็จ

การปกป้องข้อมูลที่ละเอียดอ่อน

แม้ว่าอาจเป็นเรื่องเก่าเมื่อพูดถึงมัลแวร์ แต่ Bifrost RAT ยังคงเป็นภัยคุกคามที่สำคัญและกำลังพัฒนาต่อบุคคลและองค์กร โดยเฉพาะอย่างยิ่งเมื่อมีรูปแบบใหม่ๆ มาใช้ การพิมพ์ผิด เพื่อหลบเลี่ยงการตรวจจับ นักวิจัยกล่าว

“การติดตามและการต่อต้านมัลแวร์เช่น Bifrost มีความสำคัญอย่างยิ่งในการปกป้องข้อมูลที่ละเอียดอ่อนและรักษาความสมบูรณ์ของระบบคอมพิวเตอร์” พวกเขาเขียน “สิ่งนี้ยังช่วยลดโอกาสของการเข้าถึงโดยไม่ได้รับอนุญาตและอันตรายที่ตามมาด้วย”

ในโพสต์ นักวิจัยได้แชร์รายการตัวบ่งชี้ของการบุกรุก รวมถึงตัวอย่างมัลแวร์ โดเมน และที่อยู่ IP ที่เกี่ยวข้องกับ Bifrost Linux เวอร์ชันล่าสุด นักวิจัยแนะนำว่าองค์กรต่างๆ ใช้ผลิตภัณฑ์ไฟร์วอลล์ยุคหน้าและ บริการรักษาความปลอดภัยเฉพาะระบบคลาวด์ — รวมถึงการกรอง URL แอปพลิเคชันป้องกันมัลแวร์ และการมองเห็นและการวิเคราะห์ — เพื่อความปลอดภัยของระบบคลาวด์

ท้ายที่สุดแล้ว กระบวนการติดไวรัสทำให้มัลแวร์สามารถเลี่ยงมาตรการรักษาความปลอดภัย และหลบเลี่ยงการตรวจจับ และท้ายที่สุดก็ประนีประนอมระบบเป้าหมายได้ นักวิจัยกล่าว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-