Một Trojan 20 tuổi gần đây đã xuất hiện trở lại với các biến thể mới nhắm mục tiêu vào Linux và mạo danh một miền được lưu trữ đáng tin cậy để tránh bị phát hiện.
Các nhà nghiên cứu từ Palo Alto Networks đã phát hiện ra một biến thể Linux mới của Phần mềm độc hại Bifrose (hay còn gọi là Bifrose) sử dụng một thủ đoạn lừa đảo được gọi là đánh máy để bắt chước một miền VMware hợp pháp, cho phép phần mềm độc hại hoạt động dưới tầm radar. Bifrost là một Trojan truy cập từ xa (RAT) hoạt động từ năm 2004 và thu thập thông tin nhạy cảm, chẳng hạn như tên máy chủ và địa chỉ IP, từ một hệ thống bị xâm nhập.
Các nhà nghiên cứu Anmol Murya và Siddharth Sharma đã viết trong báo cáo của công ty rằng đã có sự gia tăng đáng lo ngại về các biến thể Bifröst Linux trong vài tháng qua: Palo Alto Networks đã phát hiện hơn 100 trường hợp mẫu Bifröst, điều này “gây lo ngại cho các chuyên gia và tổ chức bảo mật”. những phát hiện mới được công bố.
Hơn nữa, có bằng chứng cho thấy những kẻ tấn công mạng nhằm mục đích mở rộng bề mặt tấn công của Bifröst hơn nữa, bằng cách sử dụng địa chỉ IP độc hại được liên kết với một biến thể Linux lưu trữ phiên bản ARM của Bifröst.
Các nhà nghiên cứu giải thích: “Bằng cách cung cấp phiên bản ARM của phần mềm độc hại, kẻ tấn công có thể mở rộng khả năng nắm bắt của chúng, xâm phạm các thiết bị có thể không tương thích với phần mềm độc hại dựa trên x86”. “Khi các thiết bị dựa trên ARM trở nên phổ biến hơn, tội phạm mạng có thể sẽ thay đổi chiến thuật của chúng để tấn công phần mềm độc hại dựa trên ARM, khiến các cuộc tấn công của chúng mạnh mẽ hơn và có thể tiếp cận nhiều mục tiêu hơn”.
Phân bố và Lây nhiễm
Các nhà nghiên cứu lưu ý rằng những kẻ tấn công thường phân phối Bifröst thông qua các tệp đính kèm email hoặc các trang web độc hại, mặc dù họ không nêu chi tiết về vectơ tấn công ban đầu cho các biến thể Linux mới xuất hiện.
Các nhà nghiên cứu của Palo Alto đã quan sát thấy một mẫu Bifröst được lưu trữ trên máy chủ ở miền 45.91.82[.]127. Sau khi được cài đặt trên máy tính của nạn nhân, Bifröst tiếp cận miền lệnh và kiểm soát (C2) có tên lừa đảo là download.vmfare[.]com, có vẻ giống với miền VMware hợp pháp. Phần mềm độc hại thu thập dữ liệu người dùng để gửi lại máy chủ này, sử dụng mã hóa RC4 để mã hóa dữ liệu.
Các nhà nghiên cứu viết: “Phần mềm độc hại thường sử dụng các tên miền lừa đảo như C2 thay vì địa chỉ IP để tránh bị phát hiện và khiến các nhà nghiên cứu gặp khó khăn hơn trong việc truy tìm nguồn gốc của hoạt động độc hại”.
Họ cũng quan sát thấy phần mềm độc hại đang cố gắng liên hệ với bộ phân giải DNS công cộng có trụ sở tại Đài Loan bằng địa chỉ IP 168.95.1[.]1. Theo các nhà nghiên cứu, phần mềm độc hại sử dụng trình phân giải để bắt đầu truy vấn DNS nhằm phân giải miền download.vmfare[.]com, một quy trình rất quan trọng để đảm bảo rằng Biblast có thể kết nối thành công với đích dự định của nó, theo các nhà nghiên cứu.
Bảo vệ dữ liệu nhạy cảm
Mặc dù có thể đã lỗi thời khi đề cập đến phần mềm độc hại, Bifrof RAT vẫn là mối đe dọa đáng kể và ngày càng gia tăng đối với các cá nhân cũng như tổ chức, đặc biệt là với các biến thể mới áp dụng đánh máy để tránh bị phát hiện, các nhà nghiên cứu cho biết.
Họ viết: “Việc theo dõi và chống lại phần mềm độc hại như Birost là rất quan trọng để bảo vệ dữ liệu nhạy cảm và duy trì tính toàn vẹn của hệ thống máy tính”. “Điều này cũng giúp giảm thiểu khả năng truy cập trái phép và các tác hại sau đó.”
Trong bài đăng của mình, các nhà nghiên cứu đã chia sẻ danh sách các dấu hiệu cho thấy sự xâm phạm, bao gồm các mẫu phần mềm độc hại, tên miền và địa chỉ IP được liên kết với các biến thể Biblast Linux mới nhất. Các nhà nghiên cứu khuyên các doanh nghiệp nên sử dụng các sản phẩm tường lửa thế hệ tiếp theo và dịch vụ bảo mật dành riêng cho đám mây — bao gồm lọc URL, ứng dụng ngăn chặn phần mềm độc hại cũng như khả năng hiển thị và phân tích — để bảo mật môi trường đám mây.
Các nhà nghiên cứu cho biết, cuối cùng, quá trình lây nhiễm cho phép phần mềm độc hại vượt qua các biện pháp bảo mật và trốn tránh sự phát hiện, đồng thời cuối cùng làm tổn hại các hệ thống mục tiêu.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- : có
- :là
- :không phải
- 100
- 7
- 91
- a
- Có khả năng
- truy cập
- Theo
- hoạt động
- hoạt động
- địa chỉ
- địa chỉ
- Nhận nuôi
- tư vấn cho
- nhằm mục đích
- aka
- như nhau
- cho phép
- Ngoài ra
- trong số
- an
- phân tích
- và
- xuất hiện
- các ứng dụng
- ARM
- AS
- liên kết
- At
- tấn công
- Các cuộc tấn công
- trở lại
- BE
- trở nên
- được
- Bifrost
- by
- bỏ qua
- CAN
- thay đổi
- đám mây
- đến
- Chung
- công ty
- tương thích
- thỏa hiệp
- Thỏa hiệp
- ảnh hưởng
- máy tính
- Mối quan tâm
- Kết nối
- liên lạc
- quan trọng
- tội phạm mạng
- dữ liệu
- điểm đến
- phát hiện
- Phát hiện
- Thiết bị (Devices)
- đã không
- khó khăn
- phân phát
- phân phối
- dns
- miền
- TÊN MIỀN
- tải về
- suốt trong
- Kỹ lưỡng
- mã hóa
- mã hóa
- đảm bảo
- doanh nghiệp
- môi trường
- trốn tránh
- Ngay cả
- bằng chứng
- phát triển
- Mở rộng
- các chuyên gia
- Giải thích
- vài
- lọc
- phát hiện
- tường lửa
- Trong
- từ
- xa hơn
- sự hiểu biết
- làm hại
- giúp
- tổ chức
- lưu trữ
- HTTPS
- mạo danh
- in
- bao gồm
- Bao gồm
- Các chỉ số
- các cá nhân
- thông tin
- ban đầu
- bắt đầu
- cài đặt
- thay vì
- tính toàn vẹn
- dự định
- IP
- Địa chỉ IP
- Địa chỉ IP
- IT
- ITS
- nổi tiếng
- mới nhất
- hợp pháp
- Lượt thích
- khả năng
- Có khả năng
- linux
- Danh sách
- làm cho
- Làm
- độc hại
- phần mềm độc hại
- Có thể..
- các biện pháp
- giảm thiểu
- tháng
- chi tiết
- tên
- tên
- mạng
- Mới
- mới
- thế hệ kế tiếp
- lưu ý
- of
- thường
- on
- hàng loạt
- or
- tổ chức
- ra
- Palo Alto
- đặc biệt
- qua
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Bài đăng
- thực hành
- bảo quản
- quá trình
- Sản phẩm
- cung cấp
- công khai
- công bố
- truy vấn
- radar
- tăng giá
- CON CHUỘT
- đạt
- Đạt
- gần đây
- vẫn còn
- xa
- truy cập từ xa
- nhà nghiên cứu
- giải quyết
- s
- bảo vệ
- Nói
- mẫu
- an toàn
- an ninh
- Các biện pháp an ninh
- gửi
- nhạy cảm
- máy chủ
- chia sẻ
- sharma
- có ý nghĩa
- tương tự
- kể từ khi
- nguồn
- mũi nhọn
- mạnh mẽ hơn
- tiếp theo
- Thành công
- như vậy
- Bề mặt
- hệ thống
- hệ thống
- chiến thuật
- Mục tiêu
- nhắm mục tiêu
- mục tiêu
- hơn
- việc này
- Sản phẩm
- Nguồn
- cung cấp their dịch
- Đó
- họ
- điều này
- Tuy nhiên?
- mối đe dọa
- Thông qua
- đến
- Dấu vết
- Theo dõi
- Trojan
- đáng tin cậy
- cố gắng
- thường
- Cuối cùng
- không được phép
- Dưới
- URL
- sử dụng
- người sử dang
- sử dụng
- sử dụng
- biến thể
- phiên bản
- thông qua
- nạn nhân
- khả năng hiển thị
- vmware
- trang web
- TỐT
- khi nào
- cái nào
- sẽ
- với
- đáng lo ngại
- đã viết
- zephyrnet
