一种已有 20 年历史的特洛伊木马最近重新出现,其新变种以 Linux 为目标,并冒充受信任的托管域来逃避检测。
Palo Alto Networks 的研究人员发现了一个新的 Linux 变体 Bifrost(又名 Bifrose)恶意软件 使用一种称为 注册近似域名 模仿合法的 VMware 域,从而使恶意软件能够在雷达下运行。 Bifrost 是一种远程访问特洛伊木马 (RAT),自 2004 年以来一直活跃,并从受感染的系统收集敏感信息,例如主机名和 IP 地址。
过去几个月,Bifrost Linux 变种数量激增,令人担忧:Palo Alto Networks 已检测到 100 多个 Bifrost 样本实例,研究人员 Anmol Murya 和 Siddharth Sharma 在该公司的报告中写道,这“引起了安全专家和组织的担忧”。新发表的研究结果。
此外,有证据表明网络攻击者的目标是进一步扩大 Bifrost 的攻击面,他们使用与托管 ARM 版本 Bifrost 的 Linux 变体相关的恶意 IP 地址。
研究人员解释说:“通过提供恶意软件的 ARM 版本,攻击者可以扩大其掌握范围,从而损害可能与基于 x86 的恶意软件不兼容的设备。” “随着基于 ARM 的设备变得越来越普遍,网络犯罪分子可能会改变他们的策略,加入基于 ARM 的恶意软件,从而使他们的攻击更加强大并能够到达更多目标。”
分布与感染
研究人员指出,攻击者通常通过电子邮件附件或恶意网站分发 Bifrost,但他们没有详细说明新出现的 Linux 变体的初始攻击向量。
帕洛阿尔托研究人员观察了托管在域名 45.91.82[.]127 的服务器上的 Bifrost 样本。一旦安装在受害者的计算机上,Bifrost 就会连接到一个具有欺骗性名称 download.vmfare[.]com 的命令和控制 (C2) 域,该域看起来与合法的 VMware 域类似。该恶意软件收集用户数据并发回该服务器,并使用 RC4 加密技术对数据进行加密。
研究人员写道:“恶意软件经常采用 C2 等欺骗性域名而不是 IP 地址来逃避检测,使研究人员更难追踪恶意活动的来源。”
他们还观察到该恶意软件试图联系 IP 地址为 168.95.1[.]1 的台湾公共 DNS 解析器。研究人员表示,该恶意软件使用解析器启动 DNS 查询来解析域名 download.vmfare[.]com,这一过程对于确保 Bifrost 能够成功连接到其预期目的地至关重要。
保护敏感数据
尽管 Bifrost RAT 可能是恶意软件的老前辈,但它仍然对个人和组织构成重大且不断演变的威胁,特别是在采用新变种的情况下 注册近似域名 研究人员说,为了逃避检测。
他们写道:“跟踪和对抗 Bifrost 等恶意软件对于保护敏感数据和维护计算机系统的完整性至关重要。” “这也有助于最大限度地减少未经授权的访问和后续伤害的可能性。”
在他们的帖子中,研究人员分享了一份妥协指标列表,包括恶意软件样本以及与最新 Bifrost Linux 变体相关的域和 IP 地址。研究人员建议企业使用下一代防火墙产品 特定于云的安全服务 — 包括 URL 过滤、恶意软件防护应用程序以及可见性和分析 — 确保云环境的安全。
研究人员表示,最终,感染过程使恶意软件能够绕过安全措施并逃避检测,并最终损害目标系统。
