Accueil > Nouvelles Cyber > Bifrose, Backdoors APT dans les mains de Shrouded Crossbow Groupe
CYBER NOUVELLES

Bifrose, Backdoors APT dans les mains de Shrouded Crossbow Groupe

par   |  Dernière mise à jour:  |  0 Commentaires  

accès à distance-trojan-sensorstechforumBifrose, aussi connu comme Bifrost, Porte Arrière:Win32 / Bifrose et Backdoor.Bifrose, est un cheval de Troie de porte dérobée avec des capacités de premier découverts dans 2004. Tout récemment,, chercheurs de TrendMicro ont détecté une nouvelle attaque cyber-espionnage fixé par un groupe criminel organisé et bien débrouillard, qui cible les entreprises liées aux gouvernements en Asie.

Le groupe est soupçonné d'avoir été actif depuis 2010. L'opération en question a été nommé d'après un mutex dans un backdoor développée par le groupe.

Shrouded Crossbow est une opération administré par les cyber-criminels bien nourris avec suffisamment de ressources humaines et financières pour acheter et améliorer le code source d'une gamme d'outils malveillants. Comme vous avez pu déjà deviné, une des portes dérobées obtenus et activement utilisée par le groupe est Bifrose. Malheureusement, Bifrose est pas la seule porte dérobée dans les mains des assaillants.

Autres backdoors notables:
Duuzer, Brambul et Joanap

Bifrose Backdoor Brève histoire des attaques

Comme l'a souligné par plusieurs fournisseurs de sécurité, l'Backdoor Bifrose a été autour depuis de nombreuses années, facilement accessible sur les forums souterrains.

Revenons un peu. Dans 2014, TrendMicro a enquêté sur une attaque ciblée contre un fabricant de l'appareil. Ceci est quand ils ont découvert qu'une variante de l'Backdoor Bifrose bien connu a refait surface à l'horizon malware. Cette variante particulière a été identifié et détecté comme BKDR_BIFROSE.ZTBG-A.

Revenons un peu plus. Un autre incident passé, à 2010, comprenait une campagne de spam intitulé «Ici vous avez '. La campagne des employés des ressources humaines dans les bureaux gouvernementaux ciblés, y compris l'OTAN. Le cas était assez semblable à APT moderne (Advanced Persistent Threat) attaques.

Prenant en considération la nature des victimes ciblées - tous connectés en quelque sorte aux gouvernements et aux organisations gouvernementales - il est évident qu'un groupe cybercriminel est à blâmer.

Kivars et Xbow à l'Opération Crossbow Shrouded

Autrefois, Bifrose a été vendu pour un maximum de $10,000. Il est assez amusant que, malgré le trafic réseau bien connu de Bifrose, le groupe pourrait encore utiliser suffisamment dans leurs opérations.

Cependant, Bifrose est pas la seule porte dérobée relancé par le groupe. Une autre menace malveillante de prendre part à l'opération Shrouded Crossbow est Kivars. Il est important de noter que Kivars et Bifrose partagent un format similaire des messages envoyés vers les attaquants.

Kivars peuvent ne pas être aussi sophistiqué que Bifrose mais il est encore un atout backdoor important pour le groupe. En outre, à 2013, Kivars ont commencé à promouvoir une version améliorée de 64 bits, en harmonie avec la vulgarisation des systèmes 64 bits.

Curieusement ou non, l'équipe de recherche de Trend Micro a partagé les soupçons que Kivars est en fait une amélioration de la mise à jour et beaucoup Bifrose:

Ce que nous pensons qui est arrivé est que le groupe a acheté le code source de BIFROSE, et après l'amélioration de ses fonctions, Le groupe a ensuite conçu un nouveau flux d'installation, développé un nouveau constructeur pour créer des paires de chargeuse-backdoor uniques, et fait des capacités de backdoor plus simples et concis, résultant dans une nouvelle porte dérobée-KIVARS. Cela pourrait signifier que l'opération est soutenue financièrement soit par ses auteurs ou le groupe dispose des fonds et des ressources pour améliorer sur une porte dérobée existante.

Il y a plus. Une enquête sur un autre 'fait maison' backdoor - Xbow - indique qu'il est la troisième pièce de l'opération en cours Shrouded Crossbow. Son développement est retracée à 2010, lorsque les codeurs malveillants étaient visiblement inspirés par Bifrose et Kivars. Il ya des similitudes frappantes dans la «récente», "Bureau" et chemins de dossiers «programme» dans les trois backdoors.

Une autre preuve: au milieu de 2011, plusieurs variantes Xbow avaient une option «Trouver les mots de passe», une composante aussi disponible en Bifrose.

Qui est derrière l'Opération Crossbow Shrouded?

Basé sur vaste analyse de données recueillies, chercheurs de TrendMicro ont fait tout à fait une conclusion intéressante. Au moins 10 acteurs de la menace sont responsables de la construction et la diffusion Xbow.

Un petit groupe peut avoir été en charge du processus de développement de l'outil. Une autre équipe peut être en charge de l'infiltration et de point d'entrée réussie dans les réseaux ciblés.

Spear phishing a été utilisé, ainsi que des campagnes d'email de mails propagation des pièces jointes malveillantes. Ces fichiers joints sont soit .rar ou .exe, masqué comme des entités gouvernementales, mais en fait, contenant de fausses informations.

Une hypothèse plus logique est que un troisième groupe est en contrôle de la commande & serveurs de contrôle. Plus que 100 commander & serveurs de contrôle ont été utilisés dans l'opération gainée Arbalète, certains d'entre eux enregistré via DNS dynamique gratuit. Les chercheurs ont observé que le C&Les activités de soutien de C comme les changements de propriété intellectuelle et le renouvellement des domaines expirés se produisent d'une manière organisée. Le pire? De nouveaux domaines sont enregistrés que nous parlons.

Comment protéger votre entreprise contre les acteurs malveillants?

Les fournisseurs de sécurité croire qu'un très petit nombre d'organisations ont une protection suffisante contre des groupes bien organisés et financés comme l'un derrière Bifrose, Kivars et Xbow. TrendMicro de Découverte profonde plate-forme est un moyen d'améliorer la protection de l'entreprise. La plate-forme permet aux administrateurs informatiques de détecter, analyser et répondre à de telles attaques avancées.

En outre, Assurez-vous d'éduquer vos employés. L'emploi des étapes suivantes est également fortement recommandé:

  • Préparation. Les entreprises devraient éduquer leurs employés et le personnel des TI de l'importance des mesures de sécurité mises à jour et de les former pour répondre aux incidents de sécurité informatique et de réseau d'une manière rapide et adéquate.
  • Identification. L'équipe d'intervention est signalée chaque fois une éventuelle violation a lieu, et doit décider si elle est un incident de sécurité ou autre chose. L'équipe est souvent conseillé de contacter le CERT Coordination Center, piste et enregistre les activités de sécurité Internet et recueille les informations les plus récentes sur les menaces malveillantes.
  • Endiguement. L'équipe d'intervention décide sur la gravité et la durée de l'émission. Déconnexion tous les systèmes et les appareils concernés afin de prévenir d'autres dommages est également appliquée.
  • Éradication. L'équipe d'intervention procède à l'enquête de divulguer l'origine de l'attaque. La cause racine du problème et tous les restes de codes malveillants sont éradiquées.
  • La récupération. Données et logiciel sont restaurés à partir des fichiers de sauvegarde propres, faire en sorte que pas de vulnérabilités sont laissés. Systèmes sont surveillés pour tout signe de prédisposition à un défaut.
  • Leçons apprises. L'équipe d'intervention analyse l'attaque et la façon dont elle a été traitée, et prépare des recommandations pour une meilleure réponse de l'avenir et pour le bien de la prévention des incidents.

    • Milena Dimitrova

    Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

    Plus de messages

    Suivez-moi:
    Gazouillement

    Articles Similaires:
    1. Prêcher sur la brèche: CVE et de réponse aux incidents Vulnérabilités, les fournisseurs et les entreprises. Les trois mots viennent souvent ensemble,...
    2. T9000 – l'avancée Backdoor que Capture Activité Skype As-tu entendu, ou pire - connu, the T5000 backdoor...
    3. Comment décrypter les fichiers Ransomware Cet article de blog a été créé dans le but d'aider...
    4. Porte Arrière:Win32 / Kirts.A: Enlever et protéger votre système Un accès par porte dérobée non autorisé à votre système peut le compromettre..
    5. Retirer Ingreslock Backdoor and Lock TCP 1524 rapports de sécurité sont apparus au sujet d'une vulnérabilité du réseau, identifiée en tant que...
    6. 5 Conseils pour la mise en œuvre d'une politique sécurisée BYOD BYOD (Apportez votre propre matériel) devient rapidement le lieu de travail...
    7. .Fichier groupe Virus (Dharma Ransomware) – Enleve Le Qu'est-ce que le virus de fichier .group? It is also called Dharma...
    8. Know Your Internet: 7 des lieux les plus risqués sur le Web Rappelez-vous ces moments où l'utilisation d'Internet et (posséder un...

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

    Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
    Je suis d'accord