Bifrost 木马的 Linux 变体通过域名抢注逃避检测

一种已有 20 年历史的特洛伊木马最近重新出现，其新变种以 Linux 为目标，并冒充受信任的托管域来逃避检测。

Palo Alto Networks 的研究人员发现了一个新的 Linux 变体 Bifrost（又名 Bifrose）恶意软件 使用一种称为 注册近似域名 模仿合法的 VMware 域，从而使恶意软件能够在雷达下运行。 Bifrost 是一种远程访问特洛伊木马 (RAT)，自 2004 年以来一直活跃，并从受感染的系统收集敏感信息，例如主机名和 IP 地址。

过去几个月，Bifrost Linux 变种数量激增，令人担忧：Palo Alto Networks 已检测到 100 多个 Bifrost 样本实例，研究人员 Anmol Murya 和 Siddharth Sharma 在该公司的报告中写道，这“引起了安全专家和组织的担忧”。新发表的研究结果。

此外，有证据表明网络攻击者的目标是进一步扩大 Bifrost 的攻击面，他们使用与托管 ARM 版本 Bifrost 的 Linux 变体相关的恶意 IP 地址。

研究人员解释说：“通过提供恶意软件的 ARM 版本，攻击者可以扩大其掌握范围，从而损害可能与基于 x86 的恶意软件不兼容的设备。” “随着基于 ARM 的设备变得越来越普遍，网络犯罪分子可能会改变他们的策略，加入基于 ARM 的恶意软件，从而使他们的攻击更加强大并能够到达更多目标。”

分布与感染

研究人员指出，攻击者通常通过电子邮件附件或恶意网站分发 Bifrost，但他们没有详细说明新出现的 Linux 变体的初始攻击向量。

帕洛阿尔托研究人员观察了托管在域名 45.91.82[.]127 的服务器上的 Bifrost 样本。一旦安装在受害者的计算机上，Bifrost 就会连接到一个具有欺骗性名称 download.vmfare[.]com 的命令和控制 (C2) 域，该域看起来与合法的 VMware 域类似。该恶意软件收集用户数据并发回该服务器，并使用 RC4 加密技术对数据进行加密。

研究人员写道：“恶意软件经常采用 C2 等欺骗性域名而不是 IP 地址来逃避检测，使研究人员更难追踪恶意活动的来源。”

他们还观察到该恶意软件试图联系 IP 地址为 168.95.1[.]1 的台湾公共 DNS 解析器。研究人员表示，该恶意软件使用解析器启动 DNS 查询来解析域名 download.vmfare[.]com，这一过程对于确保 Bifrost 能够成功连接到其预期目的地至关重要。

保护敏感数据

尽管 Bifrost RAT 可能是恶意软件的老前辈，但它仍然对个人和组织构成重大且不断演变的威胁，特别是在采用新变种的情况下 注册近似域名 研究人员说，为了逃避检测。

他们写道：“跟踪和对抗 Bifrost 等恶意软件对于保护敏感数据和维护计算机系统的完整性至关重要。” “这也有助于最大限度地减少未经授权的访问和后续伤害的可能性。”

在他们的帖子中，研究人员分享了一份妥协指标列表，包括恶意软件样本以及与最新 Bifrost Linux 变体相关的域和 IP 地址。研究人员建议企业使用下一代防火墙产品 特定于云的安全服务 — 包括 URL 过滤、恶意软件防护应用程序以及可见性和分析 — 确保云环境的安全。

研究人员表示，最终，感染过程使恶意软件能够绕过安全措施并逃避检测，并最终损害目标系统。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-