Bifrose, noto anche come Bifrost, Porta Posteriore:Win32 / Bifrose e Backdoor.Bifrose, è un Trojan backdoor con funzionalità di scoperto nel 2004. Proprio di recente, ricercatori della TrendMicro hanno rilevato un nuovo attacco cyber-spionaggio ambientato da un gruppo criminale di risorse e ben organizzato, quali obiettivi imprese in relazione ai governi in Asia.
Il gruppo è sospettato di essere stato attivo dal 2010. L'operazione in questione è stato chiamato dopo un mutex in una backdoor sviluppato dal gruppo.
Shrouded Balestra è un'operazione amministrato da criminali informatici ben nutriti con sufficienti risorse umane e finanziarie per comprare e migliorare il codice sorgente di una gamma di strumenti dannosi. Come avrete intuito già, una delle backdoor ottenuti e attivamente utilizzato dal gruppo è Bifrose. Sfortunatamente, Bifrose non è l'unico backdoor nelle mani degli aggressori.
Altri backdoor notevoli:
Duuzer, Brambul e Joanap
Bifrose Backdoor Breve storia di Attacchi
Come sottolineato da più vendor di sicurezza, la backdoor Bifrose è stato intorno per molti anni, facilmente accessibile sul forum underground.
Torniamo un po 'indietro. In 2014, TrendMicro indagato un attacco mirato contro un produttore di dispositivi. Questo è quando hanno scoperto che una variante del noto backdoor Bifrose ha ri-emersa l'orizzonte di malware. Questa variante particolare è stato identificato e rilevato come BKDR_BIFROSE.ZTBG-A.
Torniamo un po 'di più. Un altro incidente passato, in 2010, inclusa una campagna di spam dal titolo 'Ecco'. La campagna mira i dipendenti delle risorse umane negli uffici governativi, tra cui la NATO. Il caso era molto simile al moderno APT (avanzata persistente minaccia) attacchi.
Prendendo in considerazione la natura delle vittime mirati - tutti in qualche modo collegati ai governi e alle organizzazioni governative - è evidente che un gruppo criminale informatico è la colpa.
Kivars e Xbow nel Shrouded Balestra Operazione
In passato, Bifrose è stato venduto per un massimo di $10,000. E 'molto divertente che, nonostante ben noto il traffico di rete di Bifrose, il gruppo potrebbe utilizzare ancora sufficientemente nelle loro operazioni.
Tuttavia, Bifrose non è l'unica backdoor ripreso dal gruppo. Un'altra minaccia dannoso prendere parte all'operazione Shrouded Balestra è Kivars. E 'importante notare che Kivars e Bifrose condividono un simile formato dei messaggi rispedito gli attaccanti.
Kivars non possono essere sofisticato come Bifrose ma è ancora un importante patrimonio backdoor per il gruppo. Inoltre, in 2013, Kivars iniziato a promuovere una versione aggiornata a 64 bit, in sintonia con la divulgazione dei sistemi a 64 bit.
Sorprendentemente o meno, il team di ricerca di Trend Micro ha condiviso sospetti che Kivars è in realtà una versione aggiornata e molto migliorato Bifrose:
Quello che pensiamo è successo è che il gruppo ha acquistato il codice sorgente di Bifrose, e dopo un miglioramento delle sue funzioni, Il gruppo ha poi progettato un nuovo flusso di installazione, sviluppato un nuovo costruttore di creare coppie loader-backdoor unici, e reso possibili backdoor più semplici e concise, con un conseguente nuova backdoor-KIVARS. Questo potrebbe significare che l'operazione o è sostenuta finanziariamente da suoi sponsor o del gruppo ha i fondi e le risorse per migliorare su un backdoor esistente.
C'è più. Un'indagine su un altro 'fatta in casa' backdoor - Xbow - indica che è il terzo pezzo nella corrente operazione Shrouded Balestra. Il suo sviluppo è fatta risalire al 2010, quando i programmatori maligni sono stati visibilmente ispirati Bifrose e Kivars. Ci sono somiglianze nel 'recente', 'Desktop' e percorsi delle cartelle 'Programma' nei tre backdoor.
Un'altra prova: nel mezzo di 2011, diverse varianti Xbow avevano una opzione 'Trova Passwords', un componente disponibile anche in Bifrose.
Chi c'è dietro il Shrouded Balestra Operazione?
Sulla base di un'ampia analisi sui dati raccolti, ricercatori della TrendMicro hanno fatto piuttosto un interessante conclusione. Almeno 10 attori minacce sono responsabili per la costruzione e la diffusione Xbow.
Un piccolo gruppo potrebbe essere stato responsabile del processo di sviluppo strumento. Un'altra squadra può essere responsabile di infiltrazione e di successo punto di ingresso nelle reti mirato.
Spear phishing è stato utilizzato, nonché campagne e-mail di spam diffusione allegati maligni. Tali file allegati sono o .rar o exe, mascherato come entità governative, ma in realtà contenente informazioni false.
Una ipotesi più logica è che un terzo gruppo ha il controllo del comando & controllare i server. Più di 100 comando & controllare i server sono stati utilizzati nell'operazione Shrouded Balestra, alcuni di loro registrati tramite DNS dinamico gratuito. I ricercatori hanno osservato che il C&Attività di supporto C come IP cambia e il rinnovo di domini scaduti avvengono in maniera organizzata. La parte peggiore? Nuovi domini vengono registrati come parliamo.
Come proteggere la tua azienda contro gli attori maligni?
Vendor di sicurezza credono che un piccolo numero di organizzazioni hanno una protezione sufficiente contro i gruppi ben finanziati e organizzati come quella dietro Bifrose, Kivars e Xbow. TrendMicro di Scoperta profonda piattaforma è un modo per migliorare la protezione di un'impresa. La piattaforma consente amministratori IT di rilevare, analizzare e rispondere a tali attacchi avanzati.
In aggiunta, assicuratevi di educare i vostri dipendenti. L'impiego dei seguenti passi è anche altamente raccomandato:
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: