Bifrose, APT Backdoors in de handen van Gehuld Crossbow Group

Bifrose, ook wel bekend als Bifrost, Achter Deur:Win32 / Bifrose en Backdoor.Bifrose, is een Trojaans paard met een backdoor-mogelijkheden voor het eerst ontdekt in 2004. Onlangs, onderzoekers van TrendMicro hebben een nieuwe cyber-spionage aanval door een vindingrijke en goed georganiseerde criminele groep ingesteld gedetecteerd, die ondernemingen in verband met de regeringen in Azië richt.

De groep wordt vermoed, aangezien actief zijn geweest 2010. De operatie in kwestie is genoemd naar een mutex in een backdoor ontwikkeld door de groep.

Gehuld Crossbow is een operatie toegediend door weldoorvoede cybercriminelen met voldoende personele en financiële middelen te kopen en het verbeteren van de broncode van een reeks van kwaadaardige gereedschappen. Zoals je misschien al geraden, één van de verkregen en actief backdoors gebruikt door de groep is Bifrose. Helaas, Bifrose is niet de enige achterdeur in de handen van de aanvallers.

Andere opmerkelijke Backdoors:
Duuzer, Brambul en Joanap

Bifrose Backdoor korte geschiedenis van aanvallen

Zoals door meerdere security vendors, de Bifrose achterdeur is al vele jaren, gemakkelijk bereikbaar ondergrondse fora.

Laten we teruggaan een beetje. In 2014, TrendMicro onderzocht een gerichte aanval tegen een fabrikant van het apparaat. Dat is wanneer zij ontdekt dat een variant van de bekende Bifrose achterdeur is opnieuw opgedoken de malware horizon. Deze bijzondere variant is geïdentificeerd en gedetecteerd als BKDR_BIFROSE.ZTBG-A.

Laten we teruggaan een beetje meer. Een ander verleden incident, in 2010, inclusief een spam-campagne met de naam 'Hier heb je'. De campagne gericht resource medewerkers van de mens in de regering kantoren, waaronder de NAVO. De zaak was vrij gelijkaardig aan de moderne APT (advanced persistent threat) aanvallen.

Rekening houdend met de aard van de beoogde slachtoffers - allemaal een of andere manier verbonden met overheden en gouvernementele organisaties - het is duidelijk dat een cybercrimineel groep is de schuld.

Kivars en XBOW in de Gehuld Crossbow Operation

In het verleden, Bifrose werd verkocht voor maximaal $10,000. Het is heel grappig dat ondanks Bifrose bekende netwerkverkeer, de groep nog steeds gebruiken in voldoende mate in hun bedrijfsvoering.

Echter, Bifrose is niet de enige achterdeur nieuw leven ingeblazen door de groep. Een andere kwaadaardige dreiging die deelnemen aan de Gehuld Crossbow operatie is Kivars. Het is belangrijk op te merken dat Kivars en Bifrose delen een vergelijkbaar formaat van de berichten teruggestuurd naar de aanvallers.

Kivars misschien niet zo geavanceerd als Bifrose, maar het is nog steeds een belangrijke achterdeur troef voor de groep. Bovendien, in 2013, Kivars begon het bevorderen van een verbeterde 64-bits versie, in harmonie met de popularisering van 64-bit systemen.

Verrassend of niet, het onderzoeksteam bij Trend Micro heeft gedeeld vermoedens dat Kivars is in feite een bijgewerkte en sterk verbeterde Bifrose:

Wat we denken er gebeurd is dat de groep kocht de broncode van Bifrose, en na verbetering van haar functies, de groep ontworpen dan een nieuwe installatie stroom, ontwikkelde een nieuwe bouwer om unieke loader-backdoor paren creëren, en maakte meer eenvoudige en beknopte backdoor-mogelijkheden, wat resulteert in een nieuwe backdoor-KIVARS. Dit zou kunnen betekenen dat de operatie ofwel financieel wordt ondersteund door zijn sponsors of de groep beschikt over de fondsen en middelen ter verbetering van een bestaande backdoor.

Er is meer. Een onderzoek op een ander 'zelfgemaakte' backdoor - XBOW - geeft aan dat het de derde stuk in de huidige Gehuld Crossbow operatie. De ontwikkeling is terug te voeren op 2010, wanneer de kwaadaardige coders zichtbaar werden geïnspireerd door Bifrose en Kivars. Er zijn opvallende overeenkomsten in de 'recente', 'Desktop' en 'Program' map paden in de drie backdoors.

Een ander bewijs: in het midden van 2011, XBOW verschillende varianten had een optie 'Wachtwoorden zoeken', een component ook beschikbaar in Bifrose.

Wie zit er achter de Gehuld Crossbow Operation?

Op basis van uitgebreide analyse van verzamelde gegevens, onderzoekers van TrendMicro hebben een interessante conclusie getrokken. Minstens 10 dreiging acteurs zijn verantwoordelijk voor de bouw en het verspreiden XBOW.

Een kleine groep kan de leiding van het gereedschap ontwikkelingsproces zijn geweest. Een ander team kan worden belast met de infiltratie en succesvolle punt van binnenkomst in gerichte netwerken.

Spear phishing is gebruikt, alsook spam e-mail campagnes verspreiden van kwaadaardige attachments. Dergelijke bijgevoegde bestanden zijn ofwel .rar of .exe, vermomd als overheidsinstanties, maar in feite met valse informatie.

Een meer logische aanname is dat een derde groep is in de controle van de opdracht & control servers. Ruim 100 opdracht & control servers zijn gebruikt in de Gehuld Crossbow operatie, sommigen van hen zijn geregistreerd via de gratis dynamische DNS. Onderzoekers hebben opgemerkt dat de C&C ondersteunende activiteiten, zoals IP-veranderingen en vernieuwing van verlopen domeinen gebeuren op een georganiseerde manier. Het ergste? Nieuwe domeinen worden geregistreerd als we spreken.

Hoe u uw onderneming tegen de kwaadaardige acteurs te beschermen?

Beveiligingsbedrijven geloven dat een zeer klein aantal organisaties voldoende bescherming tegen de goed gefinancierde en georganiseerde groepen, zoals de achter Bifrose, Kivars en XBOW. TrendMicro's Deep Discovery platform is een manier om de bescherming van een onderneming verbeteren. Het platform stelt IT-beheerders op te sporen, analyseren en te reageren op dergelijke geavanceerde aanvallen.

Bovendien, zorg ervoor dat uw medewerkers opleiden. De werkgelegenheid van de volgende stappen wordt ook sterk aanbevolen:

Voorbereiding. Ondernemingen moeten hun werknemers en IT-medewerkers van het belang van de geactualiseerde veiligheidsmaatregelen opleiden en trainen hen om te reageren op de computer en de netwerk security incidenten in een snelle en adequate wijze.

Identificatie. De response team wordt gemeld wanneer een eventuele schending plaatsvindt, en moet beslissen of het een veiligheidsincident of iets anders. Het team wordt vaak geadviseerd om contact op met het CERT Coordination Center, welke tracks en registreert Internet security activiteiten en verzamelt de meest recente informatie over bedreigingen.

Containment. De response team beslist over de ernst en de spanwijdte van de uitgifte. Loskoppelen van alle betrokken systemen en apparaten om verdere schade te voorkomen wordt ook toegepast.

Uitroeiing. De response team overgaat tot het onderzoek naar de herkomst van de aanval te onthullen. De oorzaak van het probleem en alle kwaadaardige code restjes worden uitgeroeid.

Herstel. Gegevens en software zijn hersteld van schone back-upbestanden, ervoor te zorgen dat er geen kwetsbaarheden worden gelaten. Systemen worden gecontroleerd op enig teken van gevoeligheid voor een fout.

Geleerde lessen. De response team analyseert de aanval en de manier waarop het werd aangepakt, en bereidt aanbevelingen betere toekomstige respons en omwille van incidentpreventie.