Chercheurs de Palo Alto Networks’ Unité 42 ont découvert une nouvelle variante de l'accès à distance Bifrost de longue date troyen (RAT) ciblant spécifiquement les systèmes Linux. Cette dernière itération de Bifrost introduit plusieurs techniques d'évasion innovantes., ce qui pose un défi important aux efforts de détection et d’atténuation.
Présentation des logiciels malveillants Bifrost
Détecté pour la première fois il y a vingt ans, Bifrost a maintenu sa présence en tant que menace persistante, infiltrer les systèmes via des pièces jointes malveillantes ou des sites de suppression de charges utiles. Une fois installé, Bifrost collecte furtivement des informations sensibles auprès de l'hôte infecté, présentant un risque formidable pour les organisations et les individus.
Observations récentes par unité 42 des chercheurs ont révélé une augmentation de l'activité de Bifrost, provoquant une enquête détaillée sur les dernières tactiques du malware. Parmi les principales conclusions figure l'utilisation d'un domaine trompeur, “télécharger.vmfare[.]avec,” intelligemment conçu pour ressembler à un domaine VMware légitime.
Cette tactique vise à échapper à la détection en se fondant dans le bruit de fond du trafic réseau légitime., ce qui rend plus difficile pour les professionnels de la sécurité d'identifier et de bloquer les communications malveillantes.
En outre, le RAT utilise des binaires supprimés, dépourvus d'informations de débogage ou de tables de symboles, compliquer les efforts d’analyse et améliorer ses capacités furtives. Bifrost utilise également le cryptage RC4 pour sécuriser les données collectées sur les victimes avant de les transmettre à ses utilisateurs. commandement et de contrôle (C2) serveur via un socket TCP nouvellement créé, obscurcir davantage ses activités malveillantes.
Unité 42 les chercheurs ont également découvert une version ARM du malware, indiquant un changement stratégique de la part des acteurs de la menace vers le ciblage des architectures basées sur ARM. Alors que les systèmes basés sur ARM deviennent de plus en plus répandus dans divers environnements, cette expansion de la portée du ciblage souligne l’adaptabilité et la persistance des acteurs de la menace derrière Bifrost.
Bien que Bifrost ne puisse pas être classé comme une menace hautement sophistiquée, les récentes découvertes par Unit 42 souligner les efforts continus de ses développeurs pour améliorer sa furtivité et sa polyvalence.