20 yıllık bir Truva atı, yakın zamanda Linux’u hedef alan ve tespit edilmekten kaçınmak için güvenilir bir barındırılan alan adını taklit eden yeni varyantlarla yeniden ortaya çıktı.

Palo Alto Networks’ten araştırmacılar, Linux’un yeni bir versiyonunu tespit etti Bifrost (diğer adıyla Bifrose) kötü amaçlı yazılımı olarak bilinen aldatıcı bir uygulamayı kullanan yazım hatası Kötü amaçlı yazılımın radarın altından uçmasına izin veren meşru bir VMware alanını taklit etmek. Bifrost 2004’ten beri aktif olan ve güvenliği ihlal edilmiş bir sistemden ana bilgisayar adı ve IP adresi gibi hassas bilgileri toplayan bir uzaktan erişim Truva Atı’dır (RAT).

Geçtiğimiz birkaç ayda Bifrost Linux varyantlarında endişe verici bir artış yaşandı: Araştırmacılar Anmol Murya ve Siddharth Sharma, şirketin raporunda Palo Alto Networks’ün 100’den fazla Bifrost örneği tespit ettiğini ve bunun “güvenlik uzmanları ve kuruluşlar arasında endişelere yol açtığını” yazdı. yeni yayınlanan bulgular.

Dahası, siber saldırganların, Bifrost’un ARM sürümünü de barındıran bir Linux varyantıyla ilişkili kötü amaçlı bir IP adresi kullanarak Bifrost’un saldırı yüzeyini daha da genişletmeyi amaçladıklarına dair kanıtlar bulunduğunu söylediler.

Araştırmacılar, “Kötü amaçlı yazılımın ARM sürümünü sağlayarak, saldırganlar kavramalarını genişletebilir ve x86 tabanlı kötü amaçlı yazılımlarla uyumlu olmayabilecek cihazların güvenliğini tehlikeye atabilir” diye açıkladı. “ARM tabanlı cihazlar daha yaygın hale geldikçe, siber suçlular muhtemelen taktiklerini ARM tabanlı kötü amaçlı yazılımları içerecek şekilde değiştirecek, bu da saldırılarını daha güçlü hale getirecek ve daha fazla hedefe ulaşabilecek.”

Dağıtım ve Enfeksiyon

Araştırmacılar, saldırganların genellikle Bifrost’u e-posta ekleri veya kötü amaçlı web siteleri aracılığıyla dağıttığını ancak yeni ortaya çıkan Linux çeşitleri için ilk saldırı vektörü hakkında ayrıntılı bilgi vermediklerini belirtti.

Palo Alto araştırmacıları, 45.91.82 etki alanındaki bir sunucuda barındırılan bir Bifrost örneğini gözlemledi[.]127. Bir kurbanın bilgisayarına yüklendikten sonra Bifrost, aldatıcı bir ad olan download.vmfare ile bir komuta ve kontrol (C2) alanına ulaşır.[.]meşru bir VMware etki alanına benzer görünen com. Kötü amaçlı yazılım, verileri şifrelemek için RC4 şifrelemesini kullanarak bu sunucuya geri göndermek üzere kullanıcı verilerini toplar.

Araştırmacılar, “Kötü amaçlı yazılım, tespit edilmekten kaçınmak ve araştırmacıların kötü amaçlı etkinliğin kaynağını izlemesini zorlaştırmak için genellikle IP adresleri yerine C2 gibi aldatıcı alan adlarını benimser” diye yazdı.

Ayrıca, kötü amaçlı yazılımın 168.95.1 IP adresine sahip Tayvan merkezli bir genel DNS çözümleyiciyle iletişim kurmaya çalıştığını da gözlemlediler.[.]1. Kötü amaçlı yazılım, download.vmfare alan adını çözümlemek amacıyla bir DNS sorgusu başlatmak için çözümleyiciyi kullanır.[.]Araştırmacılara göre Bifrost’un amaçlanan hedefe başarılı bir şekilde bağlanabilmesini sağlamak için çok önemli bir süreç.

Hassas Verilerin Korunması

Kötü amaçlı yazılım söz konusu olduğunda eskimiş olsa da Bifrost RAT, özellikle yeni çeşitlerin benimsenmesiyle bireyler ve kuruluşlar için önemli ve gelişen bir tehdit olmaya devam ediyor. yazım hatası Araştırmacılar, tespitten kaçınmak için dediler.

“Bifrost gibi kötü amaçlı yazılımları izlemek ve bunlara karşı koymak, hassas verileri korumak ve bilgisayar sistemlerinin bütünlüğünü korumak açısından çok önemlidir” diye yazdılar. “Bu aynı zamanda yetkisiz erişim ve sonrasında oluşabilecek zarar olasılığının en aza indirilmesine de yardımcı oluyor.”

Araştırmacılar, gönderilerinde kötü amaçlı yazılım örnekleri ve en son Bifrost Linux varyantlarıyla ilişkili alan adı ve IP adresleri de dahil olmak üzere güvenlik ihlali göstergelerinin bir listesini paylaştı. Araştırmacılar, işletmelerin yeni nesil güvenlik duvarı ürünlerini kullanmasını ve buluta özgü güvenlik hizmetleri Bulut ortamlarının güvenliğini sağlamak için URL filtreleme, kötü amaçlı yazılım önleme uygulamaları, görünürlük ve analiz dahil.

Araştırmacılar, sonuçta bulaşma sürecinin, kötü amaçlı yazılımın güvenlik önlemlerini atlamasına ve tespitten kaçmasına ve sonuçta hedeflenen sistemleri tehlikeye atmasına olanak tanıdığını söyledi.



siber-1