Nova verzija Bifrost zlonamjernog softvera

AUTOR ·

Nova verzija Bifrost zlonamjernog softvera, klasifikovanog kao trojanac za daljinski pristup (eng. remote access Trojan – RAT), je primijećena kako vrši napade na Linux servere. Nova varijanta, nazvana Bifrose, koristi obmanjujuće ime domena da bi izbjegla otkrivanje.

Bifrost

Nova verzija Bifrost zlonamjernog softvera; Source: Bing Image Creator

BIFROST

Bifrost RAT je povezan sa BlackTech APT grupom poznatom po korišćenju prilagođenog zlonamjernog softvera i alata za daljinski pristup (RAT) za ciljanje operativnih sistema žrtava. Prvi put otkriven 2004. godine i obično su ga napadači distribuirali koristeći phishing internet stranice ili priloge elektronske pošte.  Nakon što se instalira na uređaj žrtve, Bifrost dozvoljava napadaču pristup povjerljivim informacijama kao što su IP adresa žrtve i ime uređaja.

Sigurnosni istraživači kompanije Palo Alto Networks su nedavno primijetili značajan porast aktivnosti Bifrost RAT zlonamjernog softvera, pa su pokrenuli istragu koja je pokazala da zlonamjerni akteri sada koriste poboljšanu verziju ovog zlonamjernog softvera. Najnovije analize sigurnosnih istraživača otkrivaju nekoliko zanimljivih poboljšanja koja omogućavaju prikrivenost i proširenje mogućnosti ovog zlonamjernog softvera.

 

NOVE TAKTIKE

Najnovija verzija Bifrost RAT zlonamjernog softvera komunicira sa serverom za komandu i kontrolu (C2) preko domena sa lažnim imenom download[.]vmfare[.]com, koji izgleda slično legitimnom VMware domenu – tehnika poznata kao grešaka u kucanju (eng: typosquatting). Domena sa lažnim imenom se razrješava kontaktiranjem javnog DNS servera sa sjedištem u Tajvanu, što otežava praćenje i blokiranje. Sa tehničke strane, binarna datoteka zlonamjernog softvera se kompajlira u lišenom obliku bez ikakvih informacija za otklanjanje grešaka ili tabela simbola, što je popularna taktika napadača za ometanje analize.

Zlonamjerni softver Bifrost RAT na početku koristi setSocket metod kako bi izgradio priključak za komunikaciju, nakon čega prikuplja korisničke podatke i prenosi ih na server napadača. Kada je priključak kreiran, zlonamjerni softver prikuplja korisničke informacije, koje mogu biti ime uređaja, IP adresa, ID procesa, da bi ih prenio na server napadača. Najnoviji uzorak šifruje podatke o žrtvama koji su prikupljeni korištenjem RC4 enkripcije, a zatim pokušava da uspostavi vezu sa javnim DNS serverom koji se nalazi na Tajvanu. Da bi izbjegao otkrivanje, zlonamjerni softver često koristi obmanjujuća imena domena kao što je C2 umjesto IP adresa.

Jedan od inovacija kod ovog zlonamjernog softvera je to što je ARM verzija Bifrost RAT zlonamjernog softvera opremljena istim mogućnostima kao i analizirana x86 verzija. Pojava ovih verzija pokazuje da napadači namjeravaju da prošire svoj opseg napada na ARM zasnovane arhitekture koje sada postaju sve češće u različitim okruženjima.

 

BLACKTECH

BlackTech je grupa zlonamjernih aktera koja je aktivna od 2010. godine, koja cilja širok spektar organizacija i industrije u Sjedinjenim Američkim Državama i državama istočne Azije. Poznata je po svojoj sposobnosti da modifikuje upravljači softver ruter uređaja bez otkrivanja kako bi iskoristila pouzdane mrežne odnose između rutera. Grupa cilja različite sektore, uključujući državni, industrijski, tehnologija, mediji, elektronika i telekomunikacije. Oni takođe imaju interesovanje za entitete koji podržavaju vojne napore SAD i Japana.

BlackTech koristi prilagođeni zlonamjerni softver i alate dvostruke namjene za obavljanje svojih sajber operacija. Grupa stalno ažurira svoje alate kako bi izbjegla otkrivanje od strane bezbjednosnog softvera, a pored toga, ona koriste ukradene certifikate za potpisivanje kôda da bi njihov zlonamjerni sadržaj izgledao legitimno. Kako bi izbjegla otkrivanje BlackTech grupa zlonamjernih aktera koristi taktiku stapanja sa okolinom (eng. Living off the Land – LotL), što znači da se normalnim funkcijama operativnog sistema i mrežnim aktivnostima, a po dobijanju pristupa primjenjuje razne tehnike zadržavanja uporišta na inficiranom uređaju.

 

ZAKLJUČAK

Iako se zlonamjerni softver Bifrost RAT ne može svrstati među najnaprednije ili široko rasprostranjene prijetnje, on ipak zahtjeva da se na njega obrati značajna pažnja. Njegova sposobnost ciljanja Linux servera korištenjem poboljšanih taktika obmanjivanja za krađu informacija i mogućnost zaobilaženja tradicionalnih mjera bezbjednosti koristeći tehniku greške u kucanju otežava čak i iskusnim bezbjednosnim stručnjacima da otkriju i ublaže posljedice napada.

Sa porastom upotrebe nove verzije ovog zlonamjernog softvera je ključno praćenje i suzbijanje ovog zlonamjernog softvera kako bi se zaštitili osjetljivi podaci i očuvao integritet informacionih sistema.

 

ZAŠTITA

Kako bi se korisnici i poslovne organizacije zaštitile, potrebno je da prate sljedeće preporuke:

  • Osigurati da su sve mjere bezbjednosti, uključujući antivirusni softver, zaštitne zidove i sisteme za otkrivanje ažurirani. Redovno ažurirati bezbjednosne ispravke i definicije kako bi se mogle blokirati poznate i nove prijetnje, uključujući i Bifrost RAT,
  • Edukacija zaposlenih o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomoći u identifikaciji i prijavi sajber napada,
  • Vršiti praćenje DNS saobraćaja za bilo kakve pokušaje razrješavanja sumnjivih ili omamljujućih domena povezanih Bifrost RAT zlonamjernim softverom,
  • Implementirati filtriranje internet saobraćaja kako bi se mogao blokirati pristup zlonamjernim lokacijama koje mogu distribuirati Bifrost RAT zlonamjerni softver ili druge varijante zlonamjernog softvera uz konstantno praćenje saobraćaja u potrazi za sumnjivim aktivnostima i vršiti blokiranje pristupa obmanjujućem sadržaju,
  • Koristiti sigurnosna riješenja zasnovana na identifikaciji ponašanja kako bi se blokirala neuobičajena ili sumnjiva ponašanja na krajnjim uređajima uz nadgledanje znakova neovlaštenog pristupa, preuzimanja podataka ili neuobičajenog ponašanja koje može ukazivati na prisustvo zlonamjernih prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.