新的Linux版本的Bifrost远程访问木马已经出现,它采用了一些新的伪装方法。主要工具之一是看起来像合法VMware 的假域名。
Bifrost 于 20 年前首次发现,是最古老的活跃RAT威胁之一。它通过恶意电子邮件附件或分发恶意负载的网站感染用户,然后从受感染的计算机收集敏感信息。
Palo Alto Networks 研究人员最近记录到 Bitfrost 活动急剧增加。调查已启动,调查发现攻击者现在使用的是该恶意软件的升级版本。
新的 Bitfrost 方法
Unit 42 分析师 对最新 Bitfrost 样本的分析 揭示了一些有趣的更新,这些更新提高了该木马的隐蔽性并扩展了其功能。
首先,该木马与之通信的命令和控制服务器使用“download.vmfare[.]com”域,这让人想起VMware。这使得很容易逃避检测。
台湾的公共 DNS 解析器用于解析欺骗性域名。
Bitfrost 收集受害者的主机名、IP 地址和进程 ID,然后在传输前使用 RC4 加密数据,并通过新创建的 TCP 套接字将其渗透到 C2 服务器。
报告中强调的另一项创新是 Bitfrost 的 ARM 版本,它与分析的 x86 样本具有相同的功能。
这些程序集的特征表明,攻击者意图扩大对ARM架构的影响范围,目前ARM架构活跃地分布在各种环境中。
虽然 Bitfrost 可能不是最复杂的威胁或最广泛的恶意软件,但 Unit 42 团队的发现需要提高警惕。
发表评论
您还未登录,请先登录。
登录