Bifrost Trooja Linuxi variandid väldivad tuvastamist typosquattingi kaudu

Bifrost Trooja Linuxi variandid väldivad tuvastamist typosquattingi kaudu

Ajatempel: 7. märts 2024 10:41
Allikasõlm: 2506784

20-aastane troojalane kerkis hiljuti esile uute variantidega, mis sihivad Linuxit ja kehastavad tuvastamisest kõrvalehoidmiseks usaldusväärset hostitud domeeni.

Palo Alto Networksi teadlased märkasid selle uue Linuxi variandi Bifrosti (teise nimega Bifrose) pahavara mis kasutab petlikku tava, mida tuntakse kui kirjaviga et jäljendada seaduslikku VMware domeeni, mis võimaldab pahavaral radari alla lennata. Bifrost on kaugjuurdepääsu troojalane (RAT), mis on olnud aktiivne alates 2004. aastast ja kogub ohustatud süsteemist tundlikku teavet, nagu hostinimi ja IP-aadress.

Viimastel kuudel on Bifrosti Linuxi variantide hulgas olnud murettekitav hüpe: Palo Alto Networks on avastanud enam kui 100 Bifrosti proovijuhtumit, mis "äratab muret turvaekspertide ja -organisatsioonide seas," kirjutasid teadlased Anmol Murya ja Siddharth Sharma ettevõtte ajakirjas. äsja avaldatud leiud.

Lisaks on tõendeid selle kohta, et küberründajate eesmärk on Bifrosti rünnakupinda veelgi laiendada, kasutades pahatahtlikku IP-aadressi, mis on seotud ka Bifrosti ARM-versiooni hostiva Linuxi variandiga, ütlesid nad.

"Pakkudes pahavara ARM-versiooni, saavad ründajad oma haaret laiendada, seades ohtu seadmeid, mis ei pruugi x86-põhise pahavaraga ühilduda," selgitasid teadlased. "Kuna ARM-põhised seadmed muutuvad levinumaks, muudavad küberkurjategijad tõenäoliselt oma taktikat, et lisada ARM-põhine pahavara, muutes nende rünnakud tugevamaks ja suutma jõuda rohkemate sihtmärkideni."

Jaotumine ja nakatumine

Teadlased märkisid, et ründajad levitavad Bifrosti tavaliselt meilimanuste või pahatahtlike veebisaitide kaudu, kuigi nad ei täpsustanud äsja ilmunud Linuxi variantide esialgset ründevektorit.

Palo Alto teadlased jälgisid Bifrosti näidist, mis oli hostitud serveris domeenis 45.91.82[.]127. Kui Bifrost on ohvri arvutisse installitud, jõuab see käsu-ja-juhtimise (C2) domeenini petliku nimega download.vmfare[.]com, mis näib olevat sarnane legitiimse VMware domeeniga. Pahavara kogub kasutajaandmeid, et need sellesse serverisse tagasi saata, kasutades andmete krüptimiseks RC4-krüptimist.

"Pahavara kasutab sageli IP-aadresside asemel selliseid petlikke domeeninimesid nagu C2, et vältida tuvastamist ja raskendada teadlastel pahatahtliku tegevuse allika jälgimist," kirjutasid teadlased.

Samuti jälgisid nad, kuidas pahavara üritas ühendust võtta Taiwanil asuva avaliku DNS-i lahendajaga IP-aadressiga 168.95.1[.]1. Teadlaste sõnul kasutab pahavara lahendajat DNS-i päringu algatamiseks domeeni download.vmfare[.]com lahendamiseks – protsess, mis on ülioluline, et tagada Bifrosti edukas ühenduse loomine ettenähtud sihtkohaga.

Tundlike andmete kaitsmine

Kuigi see võib pahavara osas olla vanaaegne, on Bifrost RAT endiselt oluline ja arenev oht nii üksikisikutele kui ka organisatsioonidele, eriti uute versioonide kasutuselevõtuga. kirjaviga avastamisest kõrvalehoidmiseks, ütlesid teadlased.

"Pahavara, nagu Bifrost, jälgimine ja selle vastu võitlemine on tundlike andmete kaitsmiseks ja arvutisüsteemide terviklikkuse säilitamiseks ülioluline," kirjutasid nad. "See aitab minimeerida ka volitamata juurdepääsu ja sellele järgneva kahju tõenäosust."

Oma postituses jagasid teadlased kompromissinäitajate loendit, sealhulgas pahavara näidiseid ning uusimate Bifrost Linuxi variantidega seotud domeeni- ja IP-aadresse. Teadlased soovitavad ettevõtetel kasutada järgmise põlvkonna tulemüüritooteid ja pilvespetsiifilised turvateenused — sealhulgas URL-i filtreerimine, pahavara ennetamise rakendused ning nähtavus ja analüüs — pilvekeskkondade kaitsmiseks.

Lõppkokkuvõttes võimaldab nakatumisprotsess ründevaral turvameetmetest mööda minna ja avastamisest kõrvale hiilida ning lõpuks sihitud süsteeme ohustada, ütlesid teadlased.

Ajatempel:

Veel alates Tume lugemine