ビフローズ, Bifrostとしても知られています, バックドア:Win32/BifroseおよびBackdoor.Bifrose, は、で最初に発見されたバックドア機能を備えたトロイの木馬です。 2004. つい最近, トレンドマイクロの研究者は、機知に富み、よく組織された犯罪グループによって設定された新しいサイバースパイ攻撃を検出しました, アジアの政府に関連する企業を対象としています.
以来、グループは活動していた疑いがあります 2010. 問題の操作は、グループによって開発されたバックドアのミューテックスにちなんで名付けられました.
Shrouded Crossbowは、さまざまな悪意のあるツールのソースコードを購入して改善するのに十分な人的および財源を備えた、十分な栄養を持ったサイバー犯罪者によって管理される操作です。. あなたがすでに推測したかもしれないように, グループが取得して積極的に使用しているバックドアの1つは、Bifroseです。. 不運にも, 攻撃者の手に渡るバックドアはBifroseだけではありません.
その他の注目すべきバックドア:
Duuzer, ブランブルとジョアナップ
Bifroseバックドア攻撃の短い歴史
複数のセキュリティベンダーが指摘しているように, Bifroseバックドアは何年も前から存在しています, 地下フォーラムで簡単にアクセス可能.
少し戻りましょう. の 2014, トレンドマイクロは、デバイスメーカーに対する標的型攻撃を調査しました. これは、有名なBifroseバックドアの亜種がマルウェアの地平線を再浮上させたことを彼らが発見したときです。. この特定のバリアントは、BKDR_BIFROSE.ZTBG-Aとして識別および検出されました。.
もう少し戻りましょう. 別の過去の事件, の 2010, 「Hereyouhave」というタイトルのスパムキャンペーンが含まれていました. キャンペーンは、官公庁の人材従業員を対象としました, NATOを含む. ケースは現代のAPTと非常に似ていました (高度な持続的脅威) 攻撃.
標的となる被害者の性質を考慮すると、すべて政府や政府機関に関係しているため、1つのサイバー犯罪グループが責任を負っていることは明らかです。.
シュラウドクロスボウ操作でのKivarsとXbow
過去に, ビフローズは最大で販売されました $10,000. Bifroseのよく知られたネットワークトラフィックにもかかわらず、それは非常に面白いです, グループはまだそれを彼らの活動で十分に使うことができた.
でも, グループによって復活したバックドアはBifroseだけではありません. シュラウドクロスボウ作戦に参加しているもう1つの悪意のある脅威はKivarsです. KivarsとBifroseは、攻撃者に返送されるメッセージの同様の形式を共有していることに注意することが重要です。.
KivarsはBifroseほど洗練されていない可能性がありますが、それでもグループにとって重要なバックドア資産です。. さらに, の 2013, Kivarsはアップグレードされた64ビットバージョンの宣伝を開始しました, 64ビットシステムの普及に合わせて.
驚くべきかどうか, トレンドマイクロの研究チームは、Kivarsが実際に更新され、大幅に改善されたBifroseであるという疑いを共有しています。:
私たちが起こったと思うのは、グループがBIFROSEのソースコードを購入したということです。, そしてその機能を改善した後, その後、グループは新しいインストールフローを設計しました, ユニークなローダーとバックドアのペアを作成するための新しいビルダーを開発しました, よりシンプルで簡潔なバックドア機能を作成しました, その結果、新しいバックドアが生まれました—KIVARS. これは、運営がスポンサーによって財政的に支援されているか、グループが既存のバックドアを改善するための資金とリソースを持っていることを意味する可能性があります.
もっとあります. 別の「自家製」バックドア– Xbow –の調査は、それが現在のシュラウドクロスボウ操作の3番目のピースであることを示しています. その開発はにさかのぼります 2010, 悪意のあるコーダーがBifroseとKivarsに目に見えて触発されたとき. 「最近」には驚くべき類似点があります, 3つのバックドアの「デスクトップ」および「プログラム」フォルダパス.
別の証拠: の真ん中で 2011, いくつかのXbowバリアントには「パスワードの検索」オプションがありました, Bifroseでも利用可能なコンポーネント.
シュラウドクロスボウ作戦の背後にいるのは誰か?
収集されたデータの膨大な分析に基づく, トレンドマイクロの研究者は非常に興味深い結論を出しました. 少なくとも 10 脅威アクターは、Xbowの構築と拡散に責任があります.
1つの小さなグループがツール開発プロセスを担当していた可能性があります. 別のチームが、ターゲットネットワークへの侵入と成功したエントリポイントを担当している可能性があります.
スピアフィッシングが使用されています, 悪意のある添付ファイルを拡散するスパムメールキャンペーンと同様に. このような添付ファイルは、.rarまたは.exeのいずれかです。, 政府機関になりすましたが、実際には偽の情報が含まれている.
もう1つの論理的な仮定は、3番目のグループがコマンドを制御しているということです。 & 制御サーバー. より多い 100 指図 & 制御サーバーはシュラウドクロスボウ操作で使用されています, それらのいくつかは無料のダイナミックDNSを介して登録されました. 研究者は、C&IPの変更や期限切れのドメインの更新などのCサポートアクティビティは、組織化された方法で行われます. 最悪の部分? 私たちが話すように、新しいドメインが登録されています.
悪意のある攻撃者から企業を保護する方法?
セキュリティベンダーは、Bifroseの背後にあるような、資金が豊富で組織化されたグループに対して十分な保護を行っている組織はごく少数であると考えています。, KivarsとXbow. トレンドマイクロの ディープディスカバリー プラットフォームは、企業の保護を向上させる1つの方法です. このプラットフォームにより、IT管理者は検出できます, このような高度な攻撃を分析して対応する.
加えて, 必ず従業員を教育してください. 次の手順を採用することも強くお勧めします: