Нещодавно знову з’явився 20-річний троян із новими варіантами, які націлені на Linux і імітують довірений розміщений домен, щоб уникнути виявлення.
Дослідники з Palo Alto Networks помітили новий варіант Linux Шкідливе програмне забезпечення Bifrost (він же Bifrose). який використовує оманливу практику, відому як друкарський сквот імітувати легітимний домен VMware, що дозволяє зловмисному програмному забезпеченню залишатися поза увагою. Біфрост – це троян віддаленого доступу (RAT), який діє з 2004 року та збирає конфіденційну інформацію, таку як ім’я хоста та IP-адресу, із скомпрометованої системи.
Протягом останніх кількох місяців відбулося тривожне зростання кількості варіантів Bifrost Linux: Palo Alto Networks виявила понад 100 зразків Bifrost, що «викликає занепокоєння серед експертів та організацій із безпеки», пишуть дослідники Анмол Мурія та Сіддхарт Шарма в компанії. щойно опубліковані результати.
Крім того, є докази того, що кібератакувальники прагнуть ще більше розширити поверхню атаки Bifrost, використовуючи шкідливу IP-адресу, пов’язану з варіантом Linux, на якому також розміщена версія Bifrost ARM.
«Надаючи ARM-версію зловмисного програмного забезпечення, зловмисники можуть розширити свої можливості, скомпрометувавши пристрої, які можуть бути несумісними зі зловмисним програмним забезпеченням на базі x86», — пояснили дослідники. «Оскільки пристрої на базі ARM стають все більш поширеними, кіберзлочинці, ймовірно, змінять свою тактику, включивши шкідливе програмне забезпечення на основі ARM, що зробить їхні атаки сильнішими та зможе досягти більшої кількості цілей».
Поширення та зараження
Зловмисники зазвичай поширюють Bifrost через вкладення електронної пошти або шкідливі веб-сайти, відзначили дослідники, хоча вони не уточнили початковий вектор атаки для нещодавно з’явилися варіантів Linux.
Дослідники з Пало-Альто спостерігали за зразком Bifrost, розміщеним на сервері в домені 45.91.82[.]127. Після інсталяції на комп’ютері жертви Bifrost звертається до командно-контрольного домену (C2) із оманливою назвою download.vmfare[.]com, яка виглядає схожою на законний домен VMware. Зловмисне програмне забезпечення збирає дані користувача для надсилання на цей сервер, використовуючи шифрування RC4 для шифрування даних.
«Зловмисне програмне забезпечення часто використовує такі оманливі доменні імена, як C2, замість IP-адрес, щоб уникнути виявлення та ускладнити дослідникам відстеження джерела зловмисної діяльності», — пишуть дослідники.
Вони також спостерігали, як зловмисне програмне забезпечення намагається зв’язатися з тайванським загальнодоступним DNS-перетворювачем з IP-адресою 168.95.1[.]1. За словами дослідників, зловмисне програмне забезпечення використовує резолвер для ініціювання DNS-запиту для вирішення домену download.vmfare[.]com, процесу, який має вирішальне значення для того, щоб Bifrost міг успішно підключитися до свого призначення.
Захист конфіденційних даних
Хоча Bifrost RAT може бути старожилом, коли справа доходить до зловмисного програмного забезпечення, він залишається значною та постійно розвивається загрозою як для окремих осіб, так і для організацій, особливо з використанням нових варіантів друкарський сквот щоб уникнути виявлення, кажуть дослідники.
«Відстеження та протидія шкідливому програмному забезпеченню, такому як Bifrost, має вирішальне значення для захисту конфіденційних даних і збереження цілісності комп’ютерних систем», — написали вони. «Це також допомагає мінімізувати ймовірність несанкціонованого доступу та подальшої шкоди».
У своїй публікації дослідники поділилися списком індикаторів компрометації, включаючи зразки зловмисного програмного забезпечення та домени та IP-адреси, пов’язані з останніми варіантами Bifrost Linux. Дослідники радять підприємствам використовувати брандмауери наступного покоління спеціалізовані хмарні служби безпеки — включаючи фільтрацію URL-адрес, програми для запобігання зловмисному програмному забезпеченню, видимість і аналітику — для захисту хмарних середовищ.
Зрештою, процес зараження дозволяє зловмисному програмному забезпеченню обходити заходи безпеки та уникати виявлення та, зрештою, скомпрометувати цільові системи, кажуть дослідники.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- : має
- :є
- : ні
- 100
- 7
- 91
- a
- Здатний
- доступ
- За
- активний
- діяльність
- адреса
- адреси
- Прийняття
- радити
- мета
- ака
- так
- дозволяє
- Також
- серед
- an
- аналітика
- та
- з'являється
- застосування
- ARM
- AS
- асоційований
- At
- атака
- нападки
- назад
- BE
- ставати
- було
- Біфрост
- by
- обходити
- CAN
- зміна
- хмара
- приходить
- загальний
- компанія
- сумісний
- компроміс
- Компрометація
- компрометуючі
- комп'ютер
- Турбота
- З'єднуватися
- контакт
- вирішальне значення
- кіберзлочинці
- дані
- призначення
- виявлено
- Виявлення
- прилади
- А не було
- важкий
- поширювати
- розподіл
- DNS
- домен
- ДОМЕННІ ІМЕНА
- скачати
- під час
- Розробити
- шифрувати
- шифрування
- забезпечувати
- підприємств
- середовищах
- Втеча
- Навіть
- докази
- еволюціонує
- Розширювати
- experts
- пояснені
- кілька
- фільтрація
- результати
- брандмауер
- для
- від
- далі
- схопити
- шкодити
- допомагає
- відбувся
- хостинг
- HTTPS
- уособлювати
- in
- включати
- У тому числі
- індикатори
- осіб
- інформація
- початковий
- ініціювати
- встановлений
- замість
- цілісність
- призначених
- IP
- IP-адреса
- IP-адреси
- IT
- ЙОГО
- відомий
- останній
- законний
- як
- ймовірність
- Ймовірно
- Linux
- список
- зробити
- Робить
- malicious
- шкідливих програм
- Може..
- заходи
- мінімізувати
- місяців
- більше
- ім'я
- Імена
- мереж
- Нові
- нещодавно
- наступне покоління
- зазначив,
- of
- часто
- on
- один раз
- or
- організації
- з
- Пало-Альто
- особливо
- Минуле
- plato
- Інформація про дані Платона
- PlatoData
- пошта
- практика
- консервування
- процес
- Продукти
- забезпечення
- громадськість
- опублікований
- запит
- радар
- піднімається
- ЩУР
- досягати
- Досягає
- нещодавно
- залишається
- віддалений
- Віддалений доступ
- Дослідники
- рішення
- s
- захист
- Зазначений
- зразок
- безпечний
- безпеку
- Заходи безпеки
- послати
- чутливий
- сервер
- загальні
- Шарма
- значний
- аналогічний
- з
- Source
- шип
- більш сильний
- наступні
- Успішно
- такі
- поверхню
- система
- Systems
- тактика
- Мета
- цільове
- цілі
- ніж
- Що
- Команда
- Джерело
- їх
- Там.
- вони
- це
- хоча?
- загроза
- через
- до
- Трасування
- Відстеження
- троянець
- Довірений
- намагається
- типово
- Зрештою
- несанкціонований
- при
- URL
- використання
- користувач
- використовує
- використання
- варіант
- версія
- через
- Жертва
- видимість
- VMware
- веб-сайти
- ДОБРЕ
- коли
- який
- волі
- з
- турбуватися
- пише
- зефірнет