Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Старый троян Bitfrost приобрёл новые функции

04/03/24

hack3-Mar-04-2024-12-15-22-0779-PM

Появилась новая Linux-версия троянской программы удаленного доступа Bifrost, которая использует ряд новых методов маскировки. Один из основных инструментов – поддельный домен, похожий на обычный домен VMware.

Bifrost, впервые обнаруженный 20 лет назад, является одной из старейших действующих угроз типа RAT, согласно Securitylab. Он заражает пользователей через вредоносные вложения в электронные письма или сайты, распространяющие вредоносную нагрузку, а затем собирает конфиденциальную информацию с зараженного компьютера.

Исследователи Palo Alto Networks недавно зафиксировали резкий рост активности Bitfrost. Было инициировано расследование, в ходе которого выяснилось, что сейчас злоумышленники используют прокачанную версию вредоноса.

Новые методы Bitfrost

Анализ последних образцов Bitfrost, выполненный аналитиками Unit 42, выявил несколько интересных обновлений, улучшающих скрытность трояна и расширяющих его возможности.

Во-первых, сервер управления и контроля, с которым связывается троян, использует домен "download.vmfare[.]com" – он и напоминает VMware. Это позволяет легко ускользнуть от обнаружения.

Для разрешения обманчивого домена используется публичный DNS-резолвер Тайваня.

Bitfrost собирает имя хоста жертвы, IP-адрес и идентификаторы процессов, затем шифрует данные при помощи RC4 перед передачей и эксфильтрирует их на C2-сервер через вновь созданный TCP-сокет.

Ещё одним новшеством, освещённым в отчёте, стала версия Bitfrost для ARM, обладающая теми же функциями, что и проанализированные образцы x86.

Характеристики этих сборок указывают, что злоумышленники намерены расширить сферу своего воздействия на архитектуры ARM, которые сейчас активно распространяются в различных средах.

Хотя Bitfrost, возможно, не входит в число наиболее изощрённых угроз или широко распространённых вредоносных программ, открытия, сделанные командой Unit 42, требуют повышенной бдительности.

Темы:доменыPalo_Alto_NetworksVMWareУгрозытрояныпоследние разработки
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...