パロアルトネットワークスの研究者’ 単位 42 長年存在する Bifrost リモート アクセスの新しい亜種を発見しました トロイの木馬 (ねずみ) 特に Linux システムをターゲットとする. Bifrost のこの最新版では、いくつかの革新的な回避テクニックが導入されています, 検出と軽減の取り組みに重大な課題をもたらしている.
Bifrost マルウェアの概要
20年前に初めて発見された, Bifrost は永続的な脅威として存在感を維持しています, 悪意のある電子メールの添付ファイルやペイロードをドロップするサイトを介してシステムに侵入する. インストールしたら, Bifrost は感染したホストから機密情報を密かに収集します, 組織と個人の両方に恐るべきリスクをもたらす.
ユニット別の最近の観察 42 研究者らはビフロストの活動が急増していることを明らかにした, マルウェアの最新の戦術に関する詳細な調査を促す. 重要な調査結果には、不正なドメインの利用が含まれます。, “ダウンロード.vm運賃[.]com,” 正規の VMware ドメインに似せるために巧妙に作成されている.
この戦術は、正規のネットワーク トラフィックのバックグラウンド ノイズに紛れて検出を回避することを目的としています。, セキュリティ専門家が悪意のある通信を特定してブロックすることが困難になる.
さらに, RAT は、デバッグ情報やシンボル テーブルを含まないストリップされたバイナリを使用します。, 分析作業が複雑になり、ステルス機能が強化される. Bifrost はまた、RC4 暗号化を採用して、収集された被害データを送信する前に保護します。 コマンドと制御 (C2) 新しく作成された TCP ソケット経由のサーバー, 悪意のある活動をさらに難読化する.
単位 42 研究者らはこのマルウェアのARMバージョンも発見した, 脅威アクターが ARM ベースのアーキテクチャを標的とする戦略的転換を示している. ARM ベースのシステムがさまざまな環境でますます普及するにつれて、, この標的範囲の拡大は、Bifrost の背後にある脅威アクターの適応性と持続性を強調しています。.
Bifrost は高度に洗練された脅威として分類されないかもしれませんが、, ユニットごとの最近の発見 42 ステルス性と多用途性を強化するための開発者による継続的な取り組みを強調する.