Onderzoekers van Palo Alto Networks’ Eenheid 42 hebben een nieuwe variant van de al lang bestaande Bifrost-toegang op afstand ontdekt trojan (RAT) specifiek gericht op Linux-systemen. Deze nieuwste versie van Bifrost introduceert verschillende innovatieve ontwijkingstechnieken, Dit vormt een aanzienlijke uitdaging voor de detectie- en mitigatie-inspanningen.
Overzicht van Bifrost-malware
Twintig jaar geleden voor het eerst ontdekt, Bifrost heeft zijn aanwezigheid als een aanhoudende bedreiging gehandhaafd, systemen infiltreren via kwaadaardige e-mailbijlagen of sites die payloads droppen. Eenmaal geïnstalleerd, Bifrost verzamelt heimelijk gevoelige informatie van de geïnfecteerde host, Dit vormt een enorm risico voor zowel organisaties als individuen.
Recente waarnemingen door Unit 42 onderzoekers hebben een toename van de activiteit van Bifrost onthuld, Dit leidde tot een gedetailleerd onderzoek naar de nieuwste tactieken van de malware. Een van de belangrijkste bevindingen is het gebruik van een misleidend domein, “download.vmfare[.]met,” slim ontworpen om op een legitiem VMware-domein te lijken.
Deze tactiek is bedoeld om detectie te omzeilen door op te gaan in de achtergrondruis van legitiem netwerkverkeer, waardoor het voor beveiligingsprofessionals moeilijker wordt om kwaadaardige communicatie te identificeren en te blokkeren.
Bovendien, de RAT maakt gebruik van gestripte binaire bestanden zonder foutopsporingsinformatie of symbooltabellen, het compliceren van analyse-inspanningen en het verbeteren van de stealth-mogelijkheden. Bifrost maakt ook gebruik van RC4-codering om de verzamelde slachtoffergegevens te beveiligen voordat deze naar het bedrijf worden verzonden commando en controle (C2) server via een nieuw gemaakte TCP-socket, waardoor zijn kwaadaardige activiteiten nog verder worden verdoezeld.
Eenheid 42 Onderzoekers hebben ook een ARM-versie van de malware ontdekt, wat wijst op een strategische verschuiving van bedreigingsactoren naar het aanvallen van op ARM gebaseerde architecturen. Naarmate op ARM gebaseerde systemen steeds vaker voorkomen in verschillende omgevingen, deze uitbreiding van de reikwijdte van de targeting onderstreept het aanpassingsvermogen en de volharding van de dreigingsactoren achter Bifrost.
Hoewel Bifrost misschien niet wordt geclassificeerd als een zeer geavanceerde bedreiging, de recente ontdekkingen van Unit 42 benadrukken de voortdurende inspanningen van de ontwikkelaars om de stealth en veelzijdigheid ervan te verbeteren.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: