Új Bifrost malware Linuxra, amely VMware doménnek álcázza magát a rejtőzködéshez

kami911 képe

Az új Linux-ra készített Bifrost távoli hozzáférésű trójai (RAT) több új álcázási technikát alkalmaz, többek között egy olyan csalárd tartományt, amely úgy lett megtervezve, hogy a VMware részének tűnjön. Húsz évvel ezelőtt azonosították először, a Bifrost az egyik legrégebben fennálló RAT fenyegetés, amely jelenleg kering a világban. Kiszolgálókat fertőz meg rosszindulatú e-mail mellékletek vagy terjesztő oldalak segítségével. Majd érzékeny információkat gyűjt a gazdagépről.

A Palo Alto Networks Unit 42 kutatói jelentést tettek közzé egy közelmúltban tapasztalt Bitfrost tevékenység növekedéséről, amely egy vizsgálatot vezetett be egy új, rejtőzködőbb változat felfedezéséhez.

Új Bitfrost taktikák

A Unit 42 kutatói által végzett legújabb Bitfrost minták elemzése számos érdekes frissítést fedezett fel, amelyek javítják a malware működési és álcázási képességeit.

Először is, a malware a parancs- és ellenőrző (C2) kiszolgálót a „download.vmfare[.]com” domén használja, amely hasonló a hiteles VMware doménhez, lehetővé téve annak könnyű észrevétlen maradását az ellenőrzés során.

A csalódomént egy tajvani központú nyilvános DNS feloldja, ami megnehezíti a nyomkövetést és a blokkolást. A malware-t technikai oldalról nézve a binárisokat stripped formában fordítják le, anélkül, hogy bármilyen hibakeresési információt vagy szimbólumtáblákat tartalmazna, ami megnehezíti az elemzést.

A Bitfrost gyűjti az áldozat gépének nevét, IP-címét és folyamatazonosítóit, majd RC4 titkosítást használ a biztonságos átvitelhez, majd egy újonnan létrehozott TCP socketen keresztül továbbítja azokat a C2 felé. Egy másik új eredmény, amelyet a Unit 42 jelentése kiemel, az egy ARM verziója a Bitfrostnak, amely ugyanazokkal a funkcionalitásokkal rendelkezik, mint az x86 minták azonosított elemzése során. Ezek a változatok megjelenése azt mutatja, hogy a támadók szándéka, hogy kiterjesszék célzásukat az ARM alapú architektúrákra is, amelyek most egyre gyakoribbak különböző környezetekben.

Bár a Bitfrost nem sorolható a legszofisztikáltabb fenyegetések közé vagy a legelterjedtebb malware-ek egyikének, a Unit 42 csapata által tett felfedezések fokozott éberséget követelnek. A RAT mögött álló fejlesztők nyilvánvalóan azt a célt tűzték ki maguk elé, hogy finomítsák a fenyegetést, és olyanná fejlesszék, hogy szélesebb körű rendszerműködéseket célozhasson meg.

(forrás)