Hjem > Cyber ​​Nyheder > Bifrose, APT bagdøre i hænderne på Shrouded Crossbow Group
CYBER NEWS

Bifrose, APT bagdøre i hænderne på Shrouded Crossbow Group

fjernadgang-trojan-sensorstechforumBifrose, also known as Bifrost, Bagdør:Win32 / Bifrose og Backdoor.Bifrose, er en trojansk med bagdør kapaciteter først opdaget i 2004. For nylig, forskere på TrendMicro har opdaget en ny cyber-spionage angreb, som en opfindsom og godt organiseret kriminel gruppe, som er rettet mod virksomheder i tilknytning til regeringer i Asien.

Gruppen er mistænkt for at have været aktiv siden 2010. Den pågældende operation er blevet opkaldt efter en mutex i en bagdør udviklet af gruppen.

Shrouded Crossbow er en operation administreres af velnærede cyberkriminelle med nok menneskelige og finansielle ressourcer til at købe og forbedre kildekoden af ​​en række ondsindede værktøjer. Som du måske har gættet allerede, en af ​​bagdøre opnåede og aktivt brugt af gruppen er Bifrose. Desværre, Bifrose er ikke den eneste bagdøren i hænderne på angriberne.

Andre bemærkelsesværdige bagdøre:
Duuzer, Brambul og Joanap

Bifrose Backdoor kort historie af angreb

Som påpeget af flere sikkerhed leverandører, den Bifrose bagdør har eksisteret i mange år, let tilgængelige til underjordiske fora.

Lad os gå lidt tilbage. I 2014, TrendMicro undersøgt en målrettet angreb mod en enhed producent. Dette er, når de opdagede, at en variant af den velkendte Bifrose bagdør har igen dukket malware horisont. Denne særlige variant blev identificeret og påvist som BKDR_BIFROSE.ZTBG-A.

Lad os gå tilbage lidt mere. En anden tidligere hændelse, i 2010, omfattede en spam-kampagne med titlen 'Her har du'. Kampagnen målrettet menneskelige ressourcer medarbejdere i offentlige kontorer, herunder NATO. Sagen var meget lig moderne APT (avancerede vedvarende trussel) angreb.

Under hensyntagen til arten af ​​de målrettede ofre - alle en eller anden måde forbundet til regeringer og statslige organisationer - det er tydeligt, at én cyberkriminelle gruppe skylden.

Kivars og Xbow i Shrouded Crossbow Operation

I fortiden, Bifrose blev solgt for op til $10,000. Det er ganske morsomt, at på trods Bifrose velkendte netværkstrafik, gruppen kunne stadig bruge det tilstrækkeligt i deres operationer.

Men, Bifrose er ikke den eneste bagdør genoplivet af gruppen. En anden ondsindet trussel deltager i Shrouded Crossbow operation er Kivars. Det er vigtigt at bemærke, at Kivars og Bifrose deler en lignende formatet for de beskeder sendt tilbage til angriberne.

Kivars kan ikke være så sofistikeret som Bifrose men det er stadig en vigtig bagdør aktiv for gruppen. Desuden, i 2013, Kivars begyndte at promovere en opgraderet 64-bit version, i harmoni med popularisering af 64-bit-systemer.

Overraskende eller ej, forskerholdet på Trend Micro har delt mistanke om, at Kivars er i virkeligheden en opdateret og meget forbedret Bifrose:

Hvad vi mener er sket, er, at gruppen købte kildekoden til BIFROSE, og efter at forbedre sine funktioner, gruppen derefter designet en ny installation flow, udviklet en ny bygherre til at skabe unikke frontlæsser-bagdør par, og gøres mere enkle og præcise bagdør kapaciteter, hvilket resulterer i en ny bagdør-KIVARS. Dette kunne betyde, at operationen enten bakkes økonomisk af sine sponsorer eller koncernen har de midler og ressourcer til at forbedre et eksisterende bagdør.

Der er mere. En undersøgelse på en anden 'hjemmelavede' bagdør - Xbow - angiver, at det er den tredje brik i den aktuelle Shrouded Crossbow drift. Dens udvikling spores tilbage til 2010, når de ondsindede kodere var synligt inspireret af Bifrose og Kivars. Der er slående ligheder i 'Nylig', "Desktop" og "Program" mappe stier i de tre bagdøre.

Et andet bevis: I midten af 2011, flere Xbow varianter havde en "Find adgangskoder 'option, en komponent også tilgængelige i Bifrose.

Hvem er bag Shrouded Crossbow Operation?

Baseret på omfattende analyse af indsamlede data, forskere på TrendMicro har gjort en ganske interessant konklusion. I det mindste 10 trussel aktører er ansvarlig for opbygning og spredning Xbow.

Et lille gruppe kan have været i spidsen af ​​værktøjet udviklingsprocessen. Et andet hold kan stå for infiltration og vellykket indgangssted i målrettede netværk.

Spear phishing er blevet brugt, samt spam e-mail kampagner sprede ondsindede vedhæftede filer. Sådanne vedhæftede filer er enten .rar eller .exe, masqueraded som statslige enheder, men i virkeligheden indeholder falske oplysninger.

Et mere logisk antagelse er, at en tredje gruppe er i kontrol af kommandoen & kontrol-servere. Mere end 100 kommando & kontrol-servere har været brugt i Shrouded Crossbow operationen, nogle af dem er registreret via gratis dynamisk DNS. Forskere har observeret, at C&C støtteaktiviteter, såsom IP ændringer og fornyelse af udløbne domæner ske på en organiseret måde. Den værste del? Nye domæner bliver registreret som vi taler.

Hvordan du beskytter din virksomhed mod de ondsindede aktører?

Sikkerhed leverandører mener, at et meget lille antal organisationer har tilstrækkelig beskyttelse mod godt-finansierede og organiserede grupper, som den bag Bifrose, Kivars og Xbow. TrendMicro s Deep Discovery platform er en måde at forbedre beskyttelsen af ​​en virksomhed. Platformen giver it-administratorer at opdage, analysere og reagere på sådanne avancerede angreb.

Desuden, Sørg for at uddanne dine medarbejdere. Beskæftigelsen af ​​de følgende trin er også stærkt anbefales:

  • Forberedelse. Virksomhederne bør uddanne deres ansatte og IT-personale om betydningen af ​​opdaterede sikkerhedsforanstaltninger og uddanne dem til at reagere på computer og netværk sikkerhedshændelser i en hurtig og passende måde.
  • Identifikation. Holdet respons signaleres, når en mulig overtrædelse finder sted, og skal beslutte, om det er en sikringsrelateret hændelse eller noget andet. Holdet er ofte rådes til at kontakte CERT Coordination Center, der sporer og registrerer internet-sikkerhed, og indsamler de seneste oplysninger om skadelige trusler.
  • Indeslutning. Holdet respons afgør sværhedsgraden og spændvidde af problemet. Frakobling alle berørte systemer og enheder for at forhindre yderligere skader anvendes også.
  • Udryddelse. Svaret hold fortsætter med undersøgelsen at oplyse oprindelsen af ​​angrebet. Den grundlæggende årsag til problemet, og alle ondsindet kode rester er udryddet.
  • Genopretning. Data og software gendannes fra rene backup-filer, at sikre, at der ikke sårbarheder er tilbage. Systemer overvåges for tegn på tilbøjelighed til en fejl.
  • Erfaringer. Holdet respons analyserer angrebet og den måde, det blev behandlet, og forbereder anbefalinger til bedre fremtid respons og af hensyn til forebyggelse af uheld.
  • Milena Dimitrova

    En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

    Flere indlæg

    Følg mig:
    Twitter

    Efterlad en kommentar

    Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

    This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
    Jeg er enig