Варіанти трояна Bifrost для Linux уникають виявлення через Typosquatting

Нещодавно знову з’явився 20-річний троян із новими варіантами, які націлені на Linux і імітують довірений розміщений домен, щоб уникнути виявлення.

Дослідники з Palo Alto Networks помітили новий варіант Linux Шкідливе програмне забезпечення Bifrost (він же Bifrose). який використовує оманливу практику, відому як друкарський сквот імітувати легітимний домен VMware, що дозволяє зловмисному програмному забезпеченню залишатися поза увагою. Біфрост – це троян віддаленого доступу (RAT), який діє з 2004 року та збирає конфіденційну інформацію, таку як ім’я хоста та IP-адресу, із скомпрометованої системи.

Протягом останніх кількох місяців відбулося тривожне зростання кількості варіантів Bifrost Linux: Palo Alto Networks виявила понад 100 зразків Bifrost, що «викликає занепокоєння серед експертів та організацій із безпеки», пишуть дослідники Анмол Мурія та Сіддхарт Шарма в компанії. щойно опубліковані результати.

Крім того, є докази того, що кібератакувальники прагнуть ще більше розширити поверхню атаки Bifrost, використовуючи шкідливу IP-адресу, пов’язану з варіантом Linux, на якому також розміщена версія Bifrost ARM.

«Надаючи ARM-версію зловмисного програмного забезпечення, зловмисники можуть розширити свої можливості, скомпрометувавши пристрої, які можуть бути несумісними зі зловмисним програмним забезпеченням на базі x86», — пояснили дослідники. «Оскільки пристрої на базі ARM стають все більш поширеними, кіберзлочинці, ймовірно, змінять свою тактику, включивши шкідливе програмне забезпечення на основі ARM, що зробить їхні атаки сильнішими та зможе досягти більшої кількості цілей».

Поширення та зараження

Зловмисники зазвичай поширюють Bifrost через вкладення електронної пошти або шкідливі веб-сайти, відзначили дослідники, хоча вони не уточнили початковий вектор атаки для нещодавно з’явилися варіантів Linux.

Дослідники з Пало-Альто спостерігали за зразком Bifrost, розміщеним на сервері в домені 45.91.82[.]127. Після інсталяції на комп’ютері жертви Bifrost звертається до командно-контрольного домену (C2) із оманливою назвою download.vmfare[.]com, яка виглядає схожою на законний домен VMware. Зловмисне програмне забезпечення збирає дані користувача для надсилання на цей сервер, використовуючи шифрування RC4 для шифрування даних.

«Зловмисне програмне забезпечення часто використовує такі оманливі доменні імена, як C2, замість IP-адрес, щоб уникнути виявлення та ускладнити дослідникам відстеження джерела зловмисної діяльності», — пишуть дослідники.

Вони також спостерігали, як зловмисне програмне забезпечення намагається зв’язатися з тайванським загальнодоступним DNS-перетворювачем з IP-адресою 168.95.1[.]1. За словами дослідників, зловмисне програмне забезпечення використовує резолвер для ініціювання DNS-запиту для вирішення домену download.vmfare[.]com, процесу, який має вирішальне значення для того, щоб Bifrost міг успішно підключитися до свого призначення.

Захист конфіденційних даних

Хоча Bifrost RAT може бути старожилом, коли справа доходить до зловмисного програмного забезпечення, він залишається значною та постійно розвивається загрозою як для окремих осіб, так і для організацій, особливо з використанням нових варіантів друкарський сквот щоб уникнути виявлення, кажуть дослідники.

«Відстеження та протидія шкідливому програмному забезпеченню, такому як Bifrost, має вирішальне значення для захисту конфіденційних даних і збереження цілісності комп’ютерних систем», — написали вони. «Це також допомагає мінімізувати ймовірність несанкціонованого доступу та подальшої шкоди».

У своїй публікації дослідники поділилися списком індикаторів компрометації, включаючи зразки зловмисного програмного забезпечення та домени та IP-адреси, пов’язані з останніми варіантами Bifrost Linux. Дослідники радять підприємствам використовувати брандмауери наступного покоління спеціалізовані хмарні служби безпеки — включаючи фільтрацію URL-адрес, програми для запобігання зловмисному програмному забезпеченню, видимість і аналітику — для захисту хмарних середовищ.

Зрештою, процес зараження дозволяє зловмисному програмному забезпеченню обходити заходи безпеки та уникати виявлення та, зрештою, скомпрометувати цільові системи, кажуть дослідники.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-