Новости Поддельные домены как оружие: живучий троян BIFROSE пробрался в системы Linux

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Исследователи рассказывают о новых фишках старой киберугрозы.


br74z3uiwdp9x10p93yi4ptzxb6680w2.jpg


Исследователи из компании Для просмотра ссылки Войди или Зарегистрируйся обнаружили новый вариант известного трояна для удаленного доступа - BIFROSE (также известного как Bifrost). Обновленная версия адаптирована для атак на системы Linux . Ее отличительная особенность - использование поддельного домена, внешне похожего на легитимный сайт VMware — download.vmfare[.]com.

Такая маскировка помогает обойти меры безопасности и облегчить компрометацию атакуемых сетей.

BIFROSE считается одной из самых долгоживущих киберугроз — она орудует с 2004 года. В 2015 году специалисты Для просмотра ссылки Войди или Зарегистрируйся сообщали, что исходный код трояна продавался на подпольных форумах по цене до $10 000.

За BIFROSE стоит китайская хакерская группировка BlackTech (также известная как Circuit Panda, Manga Taurus, Palmerworm и под другими именами). Она нацелена преимущественно на организации в Японии, Тайване и США. Предположительно, хакеры приобрели вредоносный софт в 2010 году и переработали под собственные нужды, интегрировав бэкдоры KIVARS и XBOW.

Варианты BIFROSE для Linux, получившие обозначение ELF_BIFROSE, распространяются как минимум Для просмотра ссылки Войди или Зарегистрируйся . Они способны запускать удаленные оболочки, скачивать/отправлять файлы и манипулировать файловой системой.

В Palo Alto Networks отслеживают резкий всплеск активности BIFROSE с октября 2023 года — за это время зафиксировано минимум 104 инцидента. Также идентифицирована версия для процессоров Arm, что указывает на планы злоумышленников расширить диапазон атак.

Эксперты предупреждают, что использование вирусом BIFROSE обманных доменов, имитирующих известные бренды, в сочетании с недавним резким ростом его активности, подчеркивает опасный и изощренный характер этой угрозы.

Помимо BIFROSE, специалисты Для просмотра ссылки Войди или Зарегистрируйся новую кампанию по распространению трояна GuLoader через вредоносные SVG-файлы и VBS-скрипты, которые прикрепляются к электронным письмам. Также появилась новая версия банковского трояна Warzone RAT , чья инфраструктура была обезврежена, а двое операторов арестованы властями США.
 
Источник новости
www.securitylab.ru

Похожие темы