Bifrose, también conocido como Bifrost, Puerta Trasera:Win32 / Bifrose y Backdoor.Bifrose, es un troyano con capacidades de puerta trasera primero descubiertos en 2004. Recientemente, investigadores de TrendMicro han detectado un nuevo ataque de ciberespionaje establecido por un grupo criminal ingenioso y bien organizada, que se dirige a empresas relacionadas con los gobiernos en Asia.
El grupo es sospechoso de haber estado activo desde 2010. La operación en cuestión lleva el nombre de un mutex en una puerta trasera desarrollada por el grupo.
Cubierto Ballesta es una operación administrada por los delincuentes cibernéticos bien alimentados con suficientes recursos humanos y financieros para comprar y mejorar el código fuente de una serie de herramientas maliciosas. Como habrás adivinado ya, una de las puertas traseras obtenidos y activamente utilizado por el grupo es Bifrose. Desafortunadamente, Bifrose no es la única puerta de atrás en las manos de los atacantes.
Otros Backdoors notables:
Duuzer, Brambul y Joanap
Bifrose Backdoor Breve Historia de los ataques
Como señalan varios proveedores de seguridad, la puerta de atrás Bifrose ha existido durante muchos años, de fácil acceso en los foros subterráneos.
Volvamos un poco. En 2014, TrendMicro investigó un ataque dirigido contra un fabricante de dispositivos. Esto es cuando descubrieron que una variante de la conocida puerta trasera Bifrose ha resurgido el horizonte de malware. Esta variante particular fue identificado y detectado como BKDR_BIFROSE.ZTBG-A.
Volvamos un poco más. Otro incidente del pasado, en 2010, incluyó una campaña de spam titulado 'Aquí tienes'. La campaña dirigida empleados de recursos humanos en las oficinas de gobierno, incluyendo la OTAN. El caso fue bastante similar a la moderna APT (amenaza persistente avanzada) ataques.
Teniendo en cuenta la naturaleza de las víctimas específicas - todos de alguna manera conectado a los gobiernos y las organizaciones no gubernamentales - es evidente que un grupo criminal cibernético tiene la culpa.
Kivars y Xbow en la Ballesta Operación protegida
En el pasado, Bifrose fue vendido para un máximo de $10,000. Es muy divertido que a pesar de conocido el tráfico de red de Bifrose, el grupo todavía podría usar lo suficiente en sus operaciones.
Sin embargo, Bifrose no es la única puerta trasera revivido por el grupo. Otra amenaza maliciosa de tomar parte en la operación protegida Ballesta es Kivars. Es importante señalar que Kivars y Bifrose comparten un formato similar de los mensajes enviados de nuevo a los atacantes.
Kivars pueden no ser tan sofisticado como Bifrose pero sigue siendo un importante activo de puerta trasera para el grupo. Por otra parte, en 2013, Kivars comenzaron a promover una versión mejorada de 64 bits, en sintonía con la popularización de los sistemas de 64 bits.
Sorprendentemente o no, el equipo de investigación de Trend Micro ha compartido sospechas de que Kivars es de hecho una mejor Bifrose actualizado y mucho:
Lo que creo que pasó es que el grupo adquirió el código fuente de Bifrose, y después de la mejora de sus funciones, Posteriormente, el grupo ha diseñado un nuevo flujo de instalación, desarrollado un nuevo constructor para crear pares-loader backdoor únicas, e hizo capacidades de puerta trasera más simples y concisas, lo que resulta en un nuevo backdoor-KIVARS. Esto podría significar que la operación está bien respaldado financieramente por sus patrocinadores o el grupo tiene los fondos y recursos para mejorar en una puerta trasera existente.
Hay más. Una investigación en otro 'hecho en casa' puerta trasera - Xbow - indica que es la tercera pieza en la operación actual Cubierto Crossbow. Su desarrollo se remonta a 2010, cuando los codificadores maliciosos fueron inspirados por visiblemente Bifrose y Kivars. Hay sorprendentes similitudes en la 'reciente', "Escritorio" y rutas de carpetas 'Programa' en las tres puertas traseras.
Otra prueba: en el medio de 2011, varias variantes Xbow tenían una opción 'Buscar' Contraseñas, un componente también disponible en Bifrose.
¿Quién está detrás de la Operación Crossbow protegida?
Basado en gran análisis sobre los datos recogidos, investigadores de TrendMicro han hecho una conclusión muy interesante. Al menos 10 actores de amenaza son los responsables de la construcción y difusión Xbow.
Un pequeño grupo puede haber estado a cargo del proceso de desarrollo de herramientas. Otro equipo puede estar a cargo de la infiltración y el punto de entrada exitosa en las redes apuntado.
Lanza el phishing se ha utilizado, así como campañas de correo electrónico de spam difusión adjuntos maliciosos. Tales archivos adjuntos son o .rar o .exe, disfrazado como entidades gubernamentales pero en realidad contiene información falsa.
Una de las hipótesis más lógico es que un tercer grupo está en el control del comando & servidores de control. Más que 100 mando & servidores de control se han utilizado en la operación protegida Crossbow, algunos de ellos registrados a través de DNS dinámico libre. Los investigadores han observado que la C&Actividades de apoyo C como cambios de propiedad intelectual y renovación de dominios expirados suceden de una manera organizada. La peor parte? Nuevos dominios se están registrando en estos momentos.
Cómo proteger su empresa contra los actores maliciosos?
Los proveedores de seguridad creen que un número muy pequeño de las organizaciones tienen una protección suficiente contra los grupos bien financiados y organizados, como el que está detrás Bifrose, Kivars y Xbow. TrendMicro de Descubrimiento Profundo plataforma es una forma de mejorar la protección de una empresa. La plataforma permite a los administradores de TI para detectar, analizar y responder a este tipo de ataques avanzados.
Adicionalmente, asegúrese de educar a sus empleados. El empleo de los siguientes pasos es también muy recomendable: