Недавно Palo Alto обнаружили новый Linux-вариант Bifrost (он же Bifrose), демонстрирующий инновационную технику обхода обнаружения. Он использует обманчивый домен download.vmfare[.]com, который имитирует легитимный домен VMware. Последняя версия Bifrost направлена на обход мер безопасности и компрометацию целевых систем.
Впервые обнаруженный в 2004 году, Bifrost представляет собой троянец удаленного доступа (RAT), позволяющий злоумышленнику собирать конфиденциальную информацию, например имя хоста и IP-адрес. В этой статье, наряду с изучением Bifrost, мы также расскажем о заметном всплеске числа Linux-вариантов Bifrost за последние несколько месяцев. Этот всплеск вызывает беспокойство у экспертов по безопасности и организаций.
Bifrost
Злоумышленники обычно распространяют Bifrost через вложения электронной почты или вредоносные веб-сайты. После установки на компьютер жертвы Bifrost позволяет злоумышленникам собирать конфиденциальную информацию, например имя хоста и IP-адрес жертвы.
Последняя версия Bifrost обращается к командно-контрольному (C2) домену с обманчивым именем download.vmfare[.]com, который выглядит как легитимный домен VMware. Такая практика известна как typosquatting. Используя этот обманчивый домен, злоумышленники, стоящие за Bifrost, стремятся обойти меры безопасности, скрыться от обнаружения и в конечном итоге скомпрометировать целевые системы.
Bifrost RAT остается значительной и развивающейся угрозой как для отдельных пользователей, так и для организаций. Новые варианты, использующие обманные доменные стратегии, такие как typosquatting, и недавний всплеск активности Bifrost подчеркивают опасную природу этого вредоносного ПО.
Indicators of Compromise
IPv4
- 45.91.82.127
Domains
- download.vmfare.com
SHA256
- 2aeb70f72e87a1957e3bc478e1982fe608429cad4580737abe58f6d78a626c05
- 8e85cb6f2215999dc6823ea3982ff4376c2cbea53286e95ed00250a4a2fe4729