Bifrost Uzaktan Access Trojan'ın (RAT) yeni bir Linux varyantı, VMware'in bir parçası olarak görünmesi için yapılan aldatıcı bir alanın kullanımı da dahil olmak üzere çeşitli yeni kaçırma tekniği kullanıyor.
İlk olarak yirmi yıl önce tanımlanan Bifrost, dolaşımda en uzun süredir devam eden sıçan tehditlerinden biridir. Kullanıcıları kötü niyetli e-posta ekleri veya yük bırakma siteleri aracılığıyla bulaşır ve daha sonra ana bilgisayardan hassas bilgiler toplar.
Palo Alto Networks birimi 42 araştırmacıları, son zamanlarda Bitfrost'un etkinliğinde bir artış gözlemlediğini bildirdi, bu da yeni, daha en geniş bir varyantı ortaya çıkaran bir soruşturma gerçekleştirdi.
Ünite 42 araştırmacıları tarafından en son Bitfrost örneklerinin analizi, kötü amaçlı yazılımların operasyonel ve kaçınma yeteneklerini artıran birkaç ilginç güncellemeyi ortaya çıkarmıştır.
İlk olarak, komut ve kontrol (C2) sunucusu Kötü amaçlı yazılım, meşru bir VMware etki alanına benzer görünen ve inceleme sırasında kolayca kaçırılmasına izin veren "İndir.vmfare [.] Com" alanını kullanır.
Aldatıcı alan, Tayvan merkezli bir kamu DNS çözücü ile temasa geçerek çözülür, bu da izlemeyi ve engellemeyi zorlaştırır.
Kötü amaçlı yazılımın teknik tarafında, ikili herhangi bir hata ayıklama bilgisi veya sembol tablosu olmadan soyulmuş formda derlenir ve analizini daha da zorlaştırır.
Bitfrost, kurbanın ana bilgisayar adını, IP adresini ve işlem kimliklerini toplar, ardından şanzımandan önce sabitlemek için RC4 şifrelemesini kullanır ve ardından yeni oluşturulan bir TCP soketi aracılığıyla C2'ye eksfiltrat eder.
Ünite 42'nin raporunda vurgulanan bir başka yeni bulgu, yazımda analiz edilen X86 örnekleriyle aynı işlevselliğe sahip BitFrost'un bir ARM sürümüdür.
Bu yapıların ortaya çıkması, saldırganların hedefleme kapsamlarını şu anda çeşitli ortamlarda giderek yaygınlaşan ARM tabanlı mimarilere genişletmeyi planladıklarını göstermektedir.
Bitfrost, son derece sofistike bir tehdit veya en yaygın olarak dağıtılmış kötü amaçlı yazılım parçalarından biri olarak sıralanmasa da, ünite 42 ekibi tarafından yapılan keşifler artan uyanıklık gerektirir.
Sıçanın arkasındaki geliştiriciler açıkça daha geniş bir sistem mimarisini hedefleyebilen daha gizli bir tehdide dönüştürmeyi hedefliyor.
FBI, Warzone faresi altyapısını ele geçirir, tutukladı kötü amaçlı yazılım satıcısını
Bilgisayar korsanları Darkme kötü amaçlı yazılımları bırakmak için yeni Windows Defender Zero Day kullandı
MacOS Info-Starers, XPROTECT Tespitinden Kaçmak İçin Hızlı Gelişiyor
CISA, kötü amaçlı yazılım saldırılarında sömürülen Microsoft akış hatası konusunda uyarıyor
Yüzü Backdoor kullanıcılarının makinelerinde sarılmak için kötü niyetli yapay zeka modelleri
Kaynak: Bleeping Computer