Bifrose, also known as Bifrost, Bagdør:Win32 / Bifrose og Backdoor.Bifrose, er en trojansk med bagdør kapaciteter først opdaget i 2004. For nylig, forskere på TrendMicro har opdaget en ny cyber-spionage angreb, som en opfindsom og godt organiseret kriminel gruppe, som er rettet mod virksomheder i tilknytning til regeringer i Asien.
Gruppen er mistænkt for at have været aktiv siden 2010. Den pågældende operation er blevet opkaldt efter en mutex i en bagdør udviklet af gruppen.
Shrouded Crossbow er en operation administreres af velnærede cyberkriminelle med nok menneskelige og finansielle ressourcer til at købe og forbedre kildekoden af en række ondsindede værktøjer. Som du måske har gættet allerede, en af bagdøre opnåede og aktivt brugt af gruppen er Bifrose. Desværre, Bifrose er ikke den eneste bagdøren i hænderne på angriberne.
Andre bemærkelsesværdige bagdøre:
Duuzer, Brambul og Joanap
Bifrose Backdoor kort historie af angreb
Som påpeget af flere sikkerhed leverandører, den Bifrose bagdør har eksisteret i mange år, let tilgængelige til underjordiske fora.
Lad os gå lidt tilbage. I 2014, TrendMicro undersøgt en målrettet angreb mod en enhed producent. Dette er, når de opdagede, at en variant af den velkendte Bifrose bagdør har igen dukket malware horisont. Denne særlige variant blev identificeret og påvist som BKDR_BIFROSE.ZTBG-A.
Lad os gå tilbage lidt mere. En anden tidligere hændelse, i 2010, omfattede en spam-kampagne med titlen 'Her har du'. Kampagnen målrettet menneskelige ressourcer medarbejdere i offentlige kontorer, herunder NATO. Sagen var meget lig moderne APT (avancerede vedvarende trussel) angreb.
Under hensyntagen til arten af de målrettede ofre - alle en eller anden måde forbundet til regeringer og statslige organisationer - det er tydeligt, at én cyberkriminelle gruppe skylden.
Kivars og Xbow i Shrouded Crossbow Operation
I fortiden, Bifrose blev solgt for op til $10,000. Det er ganske morsomt, at på trods Bifrose velkendte netværkstrafik, gruppen kunne stadig bruge det tilstrækkeligt i deres operationer.
Men, Bifrose er ikke den eneste bagdør genoplivet af gruppen. En anden ondsindet trussel deltager i Shrouded Crossbow operation er Kivars. Det er vigtigt at bemærke, at Kivars og Bifrose deler en lignende formatet for de beskeder sendt tilbage til angriberne.
Kivars kan ikke være så sofistikeret som Bifrose men det er stadig en vigtig bagdør aktiv for gruppen. Desuden, i 2013, Kivars begyndte at promovere en opgraderet 64-bit version, i harmoni med popularisering af 64-bit-systemer.
Overraskende eller ej, forskerholdet på Trend Micro har delt mistanke om, at Kivars er i virkeligheden en opdateret og meget forbedret Bifrose:
Hvad vi mener er sket, er, at gruppen købte kildekoden til BIFROSE, og efter at forbedre sine funktioner, gruppen derefter designet en ny installation flow, udviklet en ny bygherre til at skabe unikke frontlæsser-bagdør par, og gøres mere enkle og præcise bagdør kapaciteter, hvilket resulterer i en ny bagdør-KIVARS. Dette kunne betyde, at operationen enten bakkes økonomisk af sine sponsorer eller koncernen har de midler og ressourcer til at forbedre et eksisterende bagdør.
Der er mere. En undersøgelse på en anden 'hjemmelavede' bagdør - Xbow - angiver, at det er den tredje brik i den aktuelle Shrouded Crossbow drift. Dens udvikling spores tilbage til 2010, når de ondsindede kodere var synligt inspireret af Bifrose og Kivars. Der er slående ligheder i 'Nylig', "Desktop" og "Program" mappe stier i de tre bagdøre.
Et andet bevis: I midten af 2011, flere Xbow varianter havde en "Find adgangskoder 'option, en komponent også tilgængelige i Bifrose.
Hvem er bag Shrouded Crossbow Operation?
Baseret på omfattende analyse af indsamlede data, forskere på TrendMicro har gjort en ganske interessant konklusion. I det mindste 10 trussel aktører er ansvarlig for opbygning og spredning Xbow.
Et lille gruppe kan have været i spidsen af værktøjet udviklingsprocessen. Et andet hold kan stå for infiltration og vellykket indgangssted i målrettede netværk.
Spear phishing er blevet brugt, samt spam e-mail kampagner sprede ondsindede vedhæftede filer. Sådanne vedhæftede filer er enten .rar eller .exe, masqueraded som statslige enheder, men i virkeligheden indeholder falske oplysninger.
Et mere logisk antagelse er, at en tredje gruppe er i kontrol af kommandoen & kontrol-servere. Mere end 100 kommando & kontrol-servere har været brugt i Shrouded Crossbow operationen, nogle af dem er registreret via gratis dynamisk DNS. Forskere har observeret, at C&C støtteaktiviteter, såsom IP ændringer og fornyelse af udløbne domæner ske på en organiseret måde. Den værste del? Nye domæner bliver registreret som vi taler.
Hvordan du beskytter din virksomhed mod de ondsindede aktører?
Sikkerhed leverandører mener, at et meget lille antal organisationer har tilstrækkelig beskyttelse mod godt-finansierede og organiserede grupper, som den bag Bifrose, Kivars og Xbow. TrendMicro s Deep Discovery platform er en måde at forbedre beskyttelsen af en virksomhed. Platformen giver it-administratorer at opdage, analysere og reagere på sådanne avancerede angreb.
Desuden, Sørg for at uddanne dine medarbejdere. Beskæftigelsen af de følgende trin er også stærkt anbefales: