20 年前のトロイの木馬が最近、Linux をターゲットにし、信頼できるホスト ドメインになりすまして検出を回避する新しい亜種とともに再出現しました。
パロアルトネットワークスの研究者は、 Bifrost (別名 Bifrose) マルウェア として知られる欺瞞的な慣行を使用する しゃがんだ 正規の VMware ドメインを模倣することで、マルウェアが気づかれずに飛行できるようになります。 ビフロスト これは、2004 年から活動を続けているリモート アクセス トロイの木馬 (RAT) で、侵害されたシステムからホスト名や IP アドレスなどの機密情報を収集します。
過去数カ月の間に、Bifrost Linux 亜種の心配すべき急増があった。パロアルトネットワークスは、Bifrost サンプルの 100 件以上のインスタンスを検出し、これが「セキュリティ専門家や組織の間で懸念を引き起こしている」と研究者の Anmol Murya 氏と Siddharth Sharma 氏は同社の記事で書いている。新たに発表された調査結果。
さらに、サイバー攻撃者がBifrostのARM版をホストするLinux亜種に関連付けられた悪意のあるIPアドレスを使用して、Bifrostの攻撃対象領域をさらに拡大しようとしている証拠があるという。
「ARM バージョンのマルウェアを提供することで、攻撃者はその掌握範囲を拡大し、x86 ベースのマルウェアと互換性のないデバイスを侵害する可能性があります」と研究者らは説明しました。 「ARM ベースのデバイスがより一般的になるにつれて、サイバー犯罪者はおそらく ARM ベースのマルウェアを組み込むように戦術を変更し、攻撃を強化し、より多くのターゲットに到達できるようになります。」
分布と感染
研究者らは、攻撃者は通常、電子メールの添付ファイルや悪意のある Web サイトを通じて Bifrost を配布すると指摘したが、新たに浮上した Linux 亜種に対する最初の攻撃ベクトルについては詳しく説明しなかった。
パロアルトの研究者は、ドメイン 45.91.82[.]127 のサーバー上でホストされている Bifrost のサンプルを観察しました。 Bifrost は、被害者のコンピュータにインストールされると、download.vmfare[.]com という偽の名前でコマンド アンド コントロール (C2) ドメインにアクセスします。このドメインは、正規の VMware ドメインに似ています。マルウェアは、RC4 暗号化を使用してデータを暗号化し、ユーザー データを収集してこのサーバーに送り返します。
「このマルウェアは、検出を回避するために、IP アドレスの代わりに C2 などの欺瞞的なドメイン名を採用することが多く、研究者が悪意のある活動の発信元を追跡することをより困難にしています」と研究者らは書いています。
また、このマルウェアが IP アドレス 168.95.1[.]1 を持つ台湾ベースのパブリック DNS リゾルバーに接続しようとしているのも観察されました。研究者らによると、このマルウェアはリゾルバーを使用して DNS クエリを開始し、download.vmfare[.]com ドメインを解決します。このプロセスは、Bifrost が目的の宛先に正常に接続できるようにするために重要なプロセスです。
機密データの保護
Bifrost RAT はマルウェアに関しては古くからあるものかもしれませんが、特に新しい亜種が採用していることから、依然として個人と組織にとって同様に進化し続ける重大な脅威となっています。 しゃがんだ 研究者らは、検出を回避するためだと述べた。
「Bifrostのようなマルウェアを追跡し、それに対抗することは、機密データを保護し、コンピュータシステムの完全性を維持するために極めて重要です」と彼らは書いている。 「これは、不正アクセスとその後の被害の可能性を最小限に抑えるのにも役立ちます。」
研究者らは投稿の中で、最新の Bifrost Linux 亜種に関連するマルウェア サンプルやドメインおよび IP アドレスなど、侵害の痕跡のリストを共有しました。研究者らは、企業が次世代ファイアウォール製品を使用し、 クラウド固有のセキュリティ サービス URL フィルタリング、マルウェア防止アプリケーション、可視性と分析など、クラウド環境を保護します。
最終的には、感染プロセスによりマルウェアがセキュリティ対策を回避して検出を回避し、最終的には標的のシステムを侵害する可能性があると研究者らは述べた。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/stealthy-bifrost-rat-linux-variants-use-typosquatting-to-evade-detection-
- :持っている
- :は
- :not
- 100
- 45
- 91
- a
- できる
- アクセス
- 従った
- アクティブ
- アクティビティ
- 住所
- アドレス
- 採用
- アドバイス
- 目指す
- 別名
- 同様に
- ことができます
- また
- 間で
- an
- 分析論
- および
- 登場する
- ARM
- AS
- 関連する
- At
- 攻撃
- 攻撃者
- 攻撃
- バック
- BE
- になる
- き
- ビフロスト
- by
- 缶
- 変化する
- クラウド
- 集める
- comes
- コマンドと
- 会社
- 互換性のあります
- 妥協
- 損害を受けた
- 妥協する
- コンピュータ
- 懸念事項
- お問合せ
- 接触
- 重大な
- サイバー犯罪者
- データ
- デスティネーション
- 検出された
- 検出
- Devices
- しなかった
- 難しい
- 分配します
- ディストリビューション
- DNS
- ドメイン
- ドメイン名
- ダウンロード
- 間に
- 手の込んだ
- 暗号化する
- 暗号化
- 確保
- 企業
- 環境
- エーテル(ETH)
- 逃げる
- さらに
- 証拠
- 進化
- 詳細
- 専門家
- 説明
- 少数の
- フィルタリング
- 調査結果
- ファイアウォール
- から
- さらに
- 把握
- 害
- ことができます
- 主催
- ホスティング
- HTTPS
- 偽装する
- in
- include
- 含めて
- インジケータ
- 個人
- 感染
- 情報
- 初期
- 開始する
- インストール
- インスタンス
- を取得する必要がある者
- 整合性
- 意図された
- IP
- IPアドレス
- IPアドレス
- IT
- ITS
- 既知の
- 最新の
- 正当な
- ような
- 尤度
- 可能性が高い
- linuxの
- リスト
- make
- 作成
- 悪意のある
- マルウェア
- 五月..
- 措置
- 最小限に抑えます
- ヶ月
- 他には?
- 名
- 名
- ネットワーク
- 新作
- 新しく
- 次世代
- 注意
- 観測された
- of
- 頻繁に
- on
- かつて
- or
- 組織
- でる
- パロアルト
- 特に
- 過去
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポスト
- 練習
- 保存する
- プロセス
- 製品
- 提供
- 公共
- 公表
- クエリー
- レーダー
- 提起
- RAT
- リーチ
- 達します
- 最近
- 残っている
- リモート
- リモートアクセス
- 研究者
- 解決する
- s
- 保護
- 前記
- サンプル
- 安全に
- セキュリティ
- セキュリティ対策
- 送信
- 敏感な
- shared
- シャルマ
- 重要
- 同様の
- から
- ソース
- スパイク
- 強い
- それに続きます
- 首尾よく
- そのような
- 表面
- システム
- T
- 戦術
- ターゲット
- 対象となります
- ターゲット
- より
- それ
- ソース
- アプリ環境に合わせて
- そこ。
- 彼ら
- この
- しかし?
- 脅威
- 介して
- 〜へ
- トレース
- 追跡
- トロイの
- 信頼されている
- しよう
- 一般的に
- 最終的に
- 無許可
- 下
- URL
- つかいます
- ユーザー
- 使用されます
- バリアント
- バリアント
- ベクトル
- バージョン
- 、
- 被害者
- 視認性
- ヴイエムウェア
- ウェブサイト
- WELL
- いつ
- which
- 意志
- 心配
- 書いた
- ゼファーネット