Bifrost RAT nu udstyret med en Linux-variant

Forskere fra Palo Alto Networks’ Enhed 42 har afsløret en ny variant af den mangeårige Bifrost-fjernadgang trojan (RAT) specifikt rettet mod Linux-systemer. Denne seneste iteration af Bifrost introducerer flere innovative undvigelsesteknikker, udgør en betydelig udfordring for opdagelses- og afbødningsindsatsen.

Bifrost Malware Oversigt

Først opdaget for to årtier siden, Bifrost har fastholdt sin tilstedeværelse som en vedvarende trussel, infiltrere systemer gennem ondsindede vedhæftede filer i e-mails eller websteder, der fjerner nyttelast. Når det er installeret, Bifrost indsamler snigende følsomme oplysninger fra den inficerede vært, udgør en formidabel risiko for både organisationer og enkeltpersoner.

Seneste observationer af Enhed 42 forskere har afsløret en stigning i Bifrosts aktivitet, beder om en detaljeret undersøgelse af malwarens seneste taktik. Blandt de vigtigste resultater er brugen af et vildledende domæne, “download.vmfare[.]med,” smart udformet til at ligne et legitimt VMware-domæne.

Denne taktik har til formål at undgå registrering ved at blande sig i baggrundsstøjen fra legitim netværkstrafik, gør det sværere for sikkerhedsprofessionelle at identificere og blokere ondsindet kommunikation.

Desuden, RAT anvender strippede binære filer uden fejlfindingsinformation eller symboltabeller, komplicerer analyseindsatsen og forbedrer dens stealth-kapaciteter. Bifrost anvender også RC4-kryptering til at sikre indsamlede offerdata, før de overføres til sin kommando og kontrol (C2) server via en nyoprettet TCP-socket, yderligere tilsløre dets ondsindede aktiviteter.

Enhed 42 forskere har også afsløret en ARM-version af malwaren, hvilket indikerer et strategisk skift fra trusselsaktører i retning af at målrette ARM-baserede arkitekturer. Efterhånden som ARM-baserede systemer bliver mere og mere udbredte på tværs af forskellige miljøer, denne udvidelse af målretningsområdet understreger tilpasningsevnen og vedholdenheden hos trusselsaktørerne bag Bifrost.

Mens Bifrost måske ikke er klassificeret som en meget sofistikeret trussel, de seneste opdagelser af Unit 42 fremhæve de igangværende bestræbelser fra dets udviklere for at forbedre dets stealth og alsidighed.