{"id":6299,"date":"2024-03-18T20:21:06","date_gmt":"2024-03-18T19:21:06","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6299"},"modified":"2024-03-18T20:21:06","modified_gmt":"2024-03-18T19:21:06","slug":"nova-verzija-bifrost-zlonamjernog-softvera","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/03\/18\/nova-verzija-bifrost-zlonamjernog-softvera\/","title":{"rendered":"Nova verzija Bifrost zlonamjernog softvera"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Nova verzija <em>Bifrost<\/em> zlonamjernog softvera, klasifikovanog kao <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac<\/a> za daljinski pristup (eng. <em>remote access Trojan \u2013 RAT<\/em>), je primije\u0107ena kako vr\u0161i napade na <em>Linux<\/em> servere. Nova varijanta, nazvana <em>Bifrose<\/em>, koristi obmanjuju\u0107e ime domena da bi izbjegla otkrivanje.<\/span><\/p>\n<div id=\"attachment_6302\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6302\" class=\"size-full wp-image-6302\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Bifrost-RAT.jpg\" alt=\"Bifrost\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Bifrost-RAT.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Bifrost-RAT-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Bifrost-RAT-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Bifrost-RAT-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Bifrost-RAT-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Bifrost-RAT-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/Bifrost-RAT-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6302\" class=\"wp-caption-text\"><em>Nova verzija Bifrost zlonamjernog softvera; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/18\/nova-verzija-bifrost-zlonamjernog-softvera\/#BIFROST\" >BIFROST<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/18\/nova-verzija-bifrost-zlonamjernog-softvera\/#NOVE_TAKTIKE\" >NOVE TAKTIKE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/18\/nova-verzija-bifrost-zlonamjernog-softvera\/#BLACKTECH\" >BLACKTECH<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/18\/nova-verzija-bifrost-zlonamjernog-softvera\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2024\/03\/18\/nova-verzija-bifrost-zlonamjernog-softvera\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"BIFROST\"><\/span><span style=\"font-size: 14pt;\"><strong><em>BIFROST<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Bifrost RAT <\/em>je povezan sa<em> BlackTech <a href=\"https:\/\/sajberinfo.com\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">APT <\/a><\/em>grupom poznatom po kori\u0161\u0107enju prilago\u0111enog <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> i alata za daljinski pristup (<em>RAT<\/em>) za ciljanje operativnih sistema \u017ertava. Prvi put otkriven 2004. godine i obi\u010dno su ga napada\u010di distribuirali koriste\u0107i <a href=\"https:\/\/sajberinfo.com\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>internet stranice ili priloge elektronske po\u0161te.\u00a0 Nakon \u0161to se instalira na ure\u0111aj \u017ertve, <em>Bifrost<\/em> dozvoljava napada\u010du pristup povjerljivim informacijama kao \u0161to su <em>IP<\/em> adresa \u017ertve i ime ure\u0111aja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/new-linux-variant-bifrost-malware\/\" target=\"_blank\" rel=\"noopener\">Sigurnosni istra\u017eiva\u010di kompanije <em>Palo Alto Networks<\/em><\/a> su nedavno primijetili zna\u010dajan porast aktivnosti <em>Bifrost RAT <\/em>zlonamjernog softvera, pa su pokrenuli istragu koja je pokazala da <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"noopener\">zlonamjerni akteri<\/a> sada koriste pobolj\u0161anu verziju ovog zlonamjernog softvera. Najnovije analize sigurnosnih istra\u017eiva\u010da otkrivaju nekoliko zanimljivih pobolj\u0161anja koja omogu\u0107avaju prikrivenost i pro\u0161irenje mogu\u0107nosti ovog zlonamjernog softvera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"NOVE_TAKTIKE\"><\/span><span style=\"font-size: 14pt;\"><strong>NOVE TAKTIKE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Najnovija verzija <em>Bifrost RAT <\/em>zlonamjernog softvera komunicira sa serverom za komandu i kontrolu (<em>C2<\/em>) preko domena sa la\u017enim imenom <em>download[.]vmfare[.]com<\/em>, koji izgleda sli\u010dno legitimnom <em>VMware<\/em> domenu \u2013 tehnika poznata kao <a href=\"https:\/\/sajberinfo.com\/2024\/03\/18\/typosquatting\/\" target=\"_blank\" rel=\"nofollow noopener\">gre\u0161aka u kucanju (eng: <em>typosquatting<\/em>)<\/a>. Domena sa la\u017enim imenom se razrje\u0161ava kontaktiranjem javnog <em>DNS<\/em> servera sa sjedi\u0161tem u Tajvanu, \u0161to ote\u017eava pra\u0107enje i blokiranje. Sa tehni\u010dke strane, binarna datoteka zlonamjernog softvera se kompajlira u li\u0161enom obliku bez ikakvih informacija za otklanjanje gre\u0161aka ili tabela simbola, \u0161to je popularna taktika napada\u010da za ometanje analize.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>Bifrost RAT<\/em> na po\u010detku koristi <em>setSocket<\/em> metod kako bi izgradio priklju\u010dak za komunikaciju, nakon \u010dega prikuplja korisni\u010dke podatke i prenosi ih na server napada\u010da. Kada je priklju\u010dak kreiran, zlonamjerni softver prikuplja korisni\u010dke informacije, koje mogu biti ime ure\u0111aja, <em>IP<\/em> adresa, <em>ID<\/em> procesa, da bi ih prenio na server napada\u010da. Najnoviji uzorak <a href=\"https:\/\/sajberinfo.com\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifruje<\/a> podatke o \u017ertvama koji su prikupljeni kori\u0161tenjem <em>RC4<\/em> <a href=\"https:\/\/sajberinfo.com\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">enkripcije<\/a>, a zatim poku\u0161ava da uspostavi vezu sa javnim <em>DNS<\/em> serverom koji se nalazi na Tajvanu. Da bi izbjegao otkrivanje, zlonamjerni softver \u010desto koristi obmanjujuc\u0301a imena domena kao \u0161to je <em>C2<\/em> umjesto <em>IP<\/em> adresa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan od inovacija kod ovog zlonamjernog softvera je to \u0161to je <em>ARM<\/em> verzija <em>Bifrost RAT <\/em>zlonamjernog softvera opremljena istim mogu\u0107nostima kao i analizirana <em>x86<\/em> verzija. Pojava ovih verzija pokazuje da napada\u010di namjeravaju da pro\u0161ire svoj opseg napada na <em>ARM<\/em> zasnovane arhitekture koje sada postaju sve \u010de\u0161c\u0301e u razli\u010ditim okru\u017eenjima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"BLACKTECH\"><\/span><span style=\"font-size: 14pt;\"><strong><em>BLACKTECH<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>BlackTech<\/em> je grupa zlonamjernih aktera koja je aktivna od 2010. godine, koja cilja \u0161irok spektar organizacija i industrije u Sjedinjenim Ameri\u010dkim Dr\u017eavama i dr\u017eavama isto\u010dne Azije. Poznata je po svojoj sposobnosti da modifikuje upravlja\u010di softver ruter ure\u0111aja bez otkrivanja kako bi iskoristila pouzdane mre\u017ene odnose izme\u0111u rutera. Grupa cilja razli\u010dite sektore, uklju\u010duju\u0107i dr\u017eavni, industrijski, tehnologija, mediji, elektronika i telekomunikacije. Oni tako\u0111e imaju interesovanje za entitete koji podr\u017eavaju vojne napore SAD i Japana.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>BlackTech<\/em> koristi prilago\u0111eni zlonamjerni softver i alate dvostruke namjene za obavljanje svojih sajber operacija. Grupa stalno a\u017eurira svoje alate kako bi izbjegla otkrivanje od strane bezbjednosnog softvera, a pored toga, ona koriste ukradene certifikate za potpisivanje k\u00f4da da bi njihov zlonamjerni sadr\u017eaj izgledao legitimno. Kako bi izbjegla otkrivanje <em>BlackTech<\/em> grupa zlonamjernih aktera koristi taktiku <a href=\"https:\/\/sajberinfo.com\/2024\/03\/18\/living-off-the-land-lotl\/\" target=\"_blank\" rel=\"nofollow noopener\">stapanja sa okolinom (eng. <em>Living off the Land \u2013 LotL<\/em>)<\/a>, \u0161to zna\u010di da se normalnim funkcijama operativnog sistema i mre\u017enim aktivnostima, a po dobijanju pristupa primjenjuje razne tehnike zadr\u017eavanja upori\u0161ta na inficiranom ure\u0111aju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Iako se zlonamjerni softver <em>Bifrost RAT<\/em> ne mo\u017ee svrstati me\u0111u najnaprednije ili \u0161iroko rasprostranjene prijetnje, on ipak zahtjeva da se na njega obrati zna\u010dajna pa\u017enja. Njegova sposobnost ciljanja <em>Linux<\/em> servera kori\u0161tenjem pobolj\u0161anih taktika obmanjivanja za kra\u0111u informacija i mogu\u0107nost zaobila\u017eenja tradicionalnih mjera bezbjednosti koriste\u0107i tehniku gre\u0161ke u kucanju ote\u017eava \u010dak i iskusnim bezbjednosnim stru\u010dnjacima da otkriju i ubla\u017ee posljedice napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sa porastom upotrebe nove verzije ovog zlonamjernog softvera je klju\u010dno pra\u0107enje i suzbijanje ovog zlonamjernog softvera kako bi se za\u0161titili osjetljivi podaci i o\u010duvao integritet informacionih sistema.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se korisnici i poslovne organizacije za\u0161titile, potrebno je da prate sljede\u0107e preporuke:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Osigurati da su sve mjere bezbjednosti, uklju\u010duju\u0107i <a href=\"https:\/\/sajberinfo.com\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a>, za\u0161titne zidove i sisteme za otkrivanje a\u017eurirani. Redovno a\u017eurirati bezbjednosne ispravke i definicije kako bi se mogle blokirati poznate i nove prijetnje, uklju\u010duju\u0107i i <em>Bifrost RAT<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija zaposlenih o rizicima koji se odnose na mre\u017eu, ure\u0111aje i infrastrukturu poslovne organizacije mogu zna\u010dajno pomo\u0107i u prevenciji napada, jer ljudski faktor ostaje jedna od najvec\u0301ih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomo\u0107i u identifikaciji i prijavi sajber napada,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Vr\u0161iti pra\u0107enje <em>DNS<\/em> saobra\u0107aja za bilo kakve poku\u0161aje razrje\u0161avanja sumnjivih ili omamljuju\u0107ih domena povezanih <em>Bifrost<\/em> <em>RAT<\/em> zlonamjernim softverom,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati filtriranje internet saobra\u0107aja kako bi se mogao blokirati pristup zlonamjernim lokacijama koje mogu distribuirati <em>Bifrost<\/em> <em>RAT<\/em> zlonamjerni softver ili druge varijante zlonamjernog softvera uz konstantno pra\u0107enje saobra\u0107aja u potrazi za sumnjivim aktivnostima i vr\u0161iti blokiranje pristupa obmanjuju\u0107em sadr\u017eaju,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti sigurnosna rije\u0161enja zasnovana na identifikaciji pona\u0161anja kako bi se blokirala neuobi\u010dajena ili sumnjiva pona\u0161anja na krajnjim ure\u0111ajima uz nadgledanje znakova neovla\u0161tenog pristupa, preuzimanja podataka ili neuobi\u010dajenog pona\u0161anja koje mo\u017ee ukazivati na prisustvo zlonamjernih prijetnji.<\/span><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Nova verzija Bifrost zlonamjernog softvera, klasifikovanog kao trojanac za daljinski pristup (eng. remote access Trojan \u2013 RAT), je primije\u0107ena kako vr\u0161i napade na Linux servere. Nova varijanta, nazvana Bifrose, koristi obmanjuju\u0107e ime domena da&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6302,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[62,884,883,885,628,141,145,282,881],"class_list":["post-6299","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-apt","tag-bifrose","tag-bifrost","tag-blacktech","tag-c2","tag-linux","tag-rat","tag-remote-access-trojan","tag-typosquatting"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6299","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6299"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6299\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6302"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6299"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6299"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6299"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}