Casa > cibernético Notícias > Bifrose, Backdoors APT nas Mãos de Shrouded Crossbow Grupo
CYBER NEWS

Bifrose, Backdoors APT nas Mãos de Shrouded Crossbow Grupo

por   |  Última atualização:  |  0 Comentários  

-Remote-access trojan-sensorstechforumBifrose, também conhecido como Bifrost, Porta dos fundos:Win32 / Bifrose e Backdoor.Bifrose, é um Trojan com recursos de backdoor descobertos pela primeira vez em 2004. Recentemente, pesquisadores da TrendMicro detectaram um novo ataque de espionagem cibernética criado por um grupo criminoso engenhoso e bem organizado, que visa empresas relacionadas a governos na Ásia.

O grupo é suspeito de estar ativo desde 2010. A operação em questão recebeu o nome de um mutex em um backdoor desenvolvido pelo grupo.

Shrouded Crossbow é uma operação administrada por criminosos cibernéticos bem alimentados, com recursos humanos e financeiros suficientes para comprar e melhorar o código-fonte de uma série de ferramentas maliciosas. Como você já deve ter adivinhado, uma das backdoors obtidas e ativamente utilizadas pelo grupo é a Bifrose. Infelizmente, Bifrose não é a única porta dos fundos nas mãos dos atacantes.

Outras portas traseiras notáveis:
Dusher, Brambul e Joanap

Bifrose Backdoor - breve histórico de ataques

Conforme apontado por vários fornecedores de segurança, a porta dos fundos da Bifrose existe há muitos anos, facilmente acessível em fóruns clandestinos.

Vamos voltar um pouco. No 2014, TrendMicro investigou um ataque direcionado contra um fabricante de dispositivo. Foi quando eles descobriram que uma variante do conhecido backdoor Bifrose ressurgiu no horizonte do malware. Esta variante particular foi identificada e detectada como BKDR_BIFROSE.ZTBG-A.

Vamos voltar um pouco mais. Outro incidente passado, no 2010, incluiu uma campanha de spam intitulada ‘Aqui está’. A campanha teve como alvo funcionários de recursos humanos em escritórios do governo, incluindo a OTAN. O caso era bastante semelhante ao APT moderno (Ameaça persistente avançada) ataques.

Levando em consideração a natureza das vítimas visadas - todas de alguma forma conectadas a governos e organizações governamentais - fica aparente que um grupo cibercriminoso é o culpado.

Kivars e Xbow na Operação Shrouded Crossbow

No passado, Bifrose foi vendida por até $10,000. É muito divertido que, apesar do tráfego de rede bem conhecido de Bifrose, o grupo ainda poderia usá-lo suficientemente em suas operações.

Contudo, Bifrose não é a única porta dos fundos revivida pelo grupo. Outra ameaça maliciosa que participa da operação Shrouded Crossbow são os Kivars. É importante observar que Kivars e Bifrose compartilham um formato semelhante de mensagens enviadas de volta para os invasores.

Kivars pode não ser tão sofisticado quanto Bifrose, mas ainda é um recurso importante da porta dos fundos para o grupo. Além disso, no 2013, Kivars começou a promover uma versão atualizada de 64 bits, em sintonia com a popularização dos sistemas de 64 bits.

Surpreendentemente ou não, a equipe de pesquisa da Trend Micro compartilhou suspeitas de que o Kivars é na verdade um Bifrose atualizado e muito melhorado:

O que achamos que aconteceu é que o grupo comprou o código-fonte do BIFROSE, e depois de melhorar suas funções, o grupo então projetou um novo fluxo de instalação, desenvolveu um novo construtor para criar pares de backdoor-carregador exclusivos, e recursos de backdoor mais simples e concisos, resultando em um novo backdoor - KIVARS. Isso pode significar que a operação é apoiada financeiramente por seus patrocinadores ou o grupo tem os fundos e recursos para melhorar uma porta dos fundos existente.

Tem mais. Uma investigação em outra porta dos fundos "feita em casa" - Xbow - indica que é a terceira peça na operação atual de Shrouded Crossbow. Seu desenvolvimento é rastreado até 2010, quando os programadores maliciosos foram visivelmente inspirados por Bifrose e Kivars. Existem semelhanças impressionantes no "recente", Caminhos de pasta ‘Desktop’ e ‘Program’ nas três backdoors.

Outra prova: no meio de 2011, várias variantes do Xbow tinham uma opção "Encontrar senhas", um componente também disponível em Bifrose.

Quem está por trás da operação de besta encoberta?

Com base em uma vasta análise de dados coletados, pesquisadores da TrendMicro chegaram a uma conclusão bastante interessante. Finalmente 10 os atores da ameaça são responsáveis ​​pela construção e disseminação do Xbow.

Um pequeno grupo pode ter sido responsável pelo processo de desenvolvimento da ferramenta. Outra equipe pode ser responsável pela infiltração e ponto de entrada bem-sucedido nas redes direcionadas.

Spear phishing foi usado, bem como campanhas de e-mail de spam espalhando anexos maliciosos. Esses arquivos anexados são .rar ou .exe, disfarçados de entidades governamentais, mas na verdade contendo informações falsas.

Mais uma suposição lógica é que um terceiro grupo está no controle do comando & servidores de controle. Mais que 100 comando & servidores de controle foram usados ​​na operação de besta encoberta, alguns deles registrados por meio de DNS dinâmico gratuito. Os pesquisadores observaram que o C&Atividades de suporte C como mudanças de IP e renovação de domínios expirados acontecem de maneira organizada. A pior parte? Novos domínios estão sendo registrados neste momento.

Como proteger sua empresa contra os agentes mal-intencionados?

Os fornecedores de segurança acreditam que um número muito pequeno de organizações tem proteção suficiente contra grupos bem financiados e organizados, como aquele por trás do Bifrose, Kivars e Xbow. TrendMicro Deep Discovery plataforma é uma maneira de melhorar a proteção de uma empresa. A plataforma permite que os administradores de TI detectem, analisar e responder a esses ataques avançados.

além do que, além do mais, certifique-se de educar seus funcionários. O emprego das etapas a seguir também é altamente recomendado:

  • Preparação. As empresas devem educar seus funcionários e pessoal de TI sobre a importância de medidas de segurança atualizadas e treiná-los para responder a incidentes de segurança de computador e rede de maneira rápida e adequada.
  • Identificação. A equipe de resposta é sinalizada sempre que uma possível violação ocorre, e deve decidir se é um incidente de segurança ou outra coisa. A equipe é frequentemente aconselhada a entrar em contato com o Centro de Coordenação CERT, que rastreia e registra as atividades de segurança da Internet e coleta as informações mais recentes sobre ameaças maliciosas.
  • Contenção. A equipe de resposta decide sobre a gravidade e extensão do problema. Desconectar todos os sistemas e dispositivos afetados para evitar maiores danos também é aplicado.
  • Erradicação. A equipe de resposta prossegue com a investigação para divulgar a origem do ataque. A causa raiz do problema e todos os restos de código malicioso são erradicados.
  • Recuperação. Dados e software são restaurados de arquivos de backup limpos, certificando-se de que nenhuma vulnerabilidade é deixada. Os sistemas são monitorados quanto a qualquer sinal de tendência a uma falha.
  • Lições aprendidas. A equipe de resposta analisa o ataque e a forma como ele foi tratado, e prepara recomendações para uma melhor resposta futura e para o bem da prevenção de incidentes.

    • Milena Dimitrova

    Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

    mais Posts

    Me siga:
    Twitter

    Postagens relacionadas:
    1. Pregar Sobre the Breach: CVE e Resposta a Incidentes vulnerabilidades, fornecedores e empresas. As três palavras muitas vezes vêm juntos,...
    2. T9000 – o Backdoor avançada que Atividade Captura Skype Você já ouviu, ou pior - experimentaram, the T5000 backdoor...
    3. Como descriptografar Ransomware Arquivos Esta postagem no blog foi criada para ajudar...
    4. Porta dos fundos:Win32 / Kirts.A: Remova e proteja o seu sistema Um acesso backdoor não autorizado ao seu sistema pode comprometê-lo..
    5. Remover Ingreslock Backdoor e bloqueio TCP 1524 relatórios de segurança surgiram a respeito de uma vulnerabilidade de rede, identified as...
    6. 5 Dicas para Implementar um Secure Policy BYOD BYOD (traga seu próprio aparelho) is quickly becoming the workplace...
    7. .Grupo de vírus de arquivo (Dharma Ransomware) – Remova O que é vírus de arquivo .group? It is also called Dharma...
    8. Know Your Internet: 7 dos lugares mais arriscados na Web Lembre-se daqueles momentos em que o uso da Internet e (owning a...

    Deixe um comentário

    seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

    Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
    Concordo