Kaçınma için Aldatıcı VMware Etki Alanı Kullanan Yeni BIFROSE Linux Kötü Amaçlı Yazılım Varyantı

Siber güvenlik araştırmacıları, VMware'i taklit eden aldatıcı bir etki alanı kullanan BIFROSE (diğer adıyla Bifrost) adlı bir uzaktan erişim truva atının (RAT) yeni bir Linux varyantını keşfettiler.

Palo Alto Networks Unit 42 araştırmacıları Anmol Maurya ve Siddharth Sharma, "Bifrost'un bu son sürümü, güvenlik önlemlerini atlamayı ve hedeflenen sistemleri tehlikeye atmayı amaçlıyor" dedi.

BIFROSE, 2004 yılından bu yana aktif olan uzun süredir devam eden tehditlerden biridir. Trend Micro'nun Aralık 2015'te yayınladığı bir rapora göre, geçmişte yeraltı forumlarında 10.000 dolara kadar satışa sunuldu.

Kötü amaçlı yazılım, Japonya, Tayvan ve ABD'de grev yapan kuruluşlarla geçmişi olan BlackTech (diğer adıyla Circuit Panda, HUAPI, Manga Taurus, Palmerworm, PLEAD, Red Djinn ve Temp.Overboard) olarak izlenen Çin'den devlet destekli bir bilgisayar korsanlığı grubu tarafından kullanıldı.

Tehdit aktörünün kaynak kodunu satın aldığından veya 2010 civarında ona erişim sağladığından ve kötü amaçlı yazılımı KIVARS ve XBOW gibi özel arka kapılar aracılığıyla kendi kampanyalarında kullanmak üzere yeniden kullandığından şüpheleniliyor.

BIFROSE'un (diğer adıyla ELF_BIFROSE) Linux varyantları, en az 2020'den beri uzak kabukları başlatma, dosya indirme/yükleme ve dosya işlemlerini gerçekleştirme yetenekleriyle gözlemlenmiştir.

Araştırmacılar, "Saldırganlar genellikle Bifrost'u e-posta ekleri veya kötü amaçlı web siteleri aracılığıyla dağıtıyor" dedi. "Bir kurbanın bilgisayarına yüklendikten sonra Bifrost, saldırganın kurbanın ana bilgisayar adı ve IP adresi gibi hassas bilgileri toplamasına izin veriyor."

En son varyantı kayda değer kılan şey, "download.vmfare[.] com" VMware kılığına girme girişiminde. Aldatıcı etki alanı, 168.95.1[.] IP adresine sahip Tayvan merkezli bir genel DNS çözümleyicisiyle iletişime geçilerek çözülür. 1.

Birim 42, Ekim 2023'ten bu yana Bifrost aktivitesinde bir artış tespit ettiğini ve telemetrisinde en az 104 eser tespit ettiğini söyledi. Ayrıca, kötü amaçlı yazılımın bir Arm sürümünü keşfetti ve bu da tehdit aktörlerinin muhtemelen saldırı yüzeylerini genişletmek istediklerini gösteriyor.

Araştırmacılar, "Typosquatting gibi aldatıcı etki alanı stratejileri kullanan yeni varyantlarla, Bifrost etkinliğindeki son artış, bu kötü amaçlı yazılımın tehlikeli doğasını vurguluyor" dedi.

Gelişme, McAfee Labs'ın kötü amaçlı yazılımı e-posta mesajlarındaki kötü amaçlı SVG dosya ekleri aracılığıyla yayan yeni bir GuLoader kampanyasını detaylandırmasıyla geldi. Kötü amaçlı yazılımın, çok aşamalı yük dağıtımının bir parçası olarak VBS komut dosyaları aracılığıyla dağıtıldığı da gözlemlendi.

Trustwave SpiderLabs, bu haftanın başlarında X'te yayınlanan bir gönderide, "Bu son artış, daha geniş erişim ve kaçınma için gelişen taktiklerini vurguluyor" dedi.

Bifrost ve GuLoader saldırıları, yakın zamanda iki operatörünün tutuklandığı ve altyapısının ABD hükümeti tarafından söküldüğü Warzone RAT'ın yeni bir versiyonunun piyasaya sürülmesiyle aynı zamana denk geliyor.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.