Bifrost’un Bifrose olarak adlandırılan yeni bir Linux versiyonunun, resmi VMware alanını taklit eden aldatıcı bir alan adı kullanmak gibi, tespit edilmekten kaçınmak için yaratıcı bir yol sergilediği gözlemlendi.
Bifrost, ilk olarak 2004 yılında keşfedilen bir uzaktan erişim Truva Atı’dır (RAT). Genellikle kimlik avı web siteleri veya e-posta ekleri kullanan saldırganlar tarafından dağıtılır.
Bifrost, kurbanın bilgisayarına yüklendikten sonra saldırganın, kurbanın IP adresi ve ana bilgisayar adı gibi gizli bilgilere erişmesine olanak tanıyor.
Bifrost’un en son sürümü, güvenlik önlemlerini atlamaya ve hedef sistemlere sızmaya çalışıyor.
Siber güvenlik sektörü, Bifrost’un Linux versiyonlarında son dönemde görülen artıştan endişe duyuyor; bu durum, Linux tabanlı sistemlere yönelik saldırılarda artışa işaret ediyor olabilir.
.webp)
Bifrost’un Kullandığı Yeni Kullanıcı Aldatma Yöntemi
“Bifrost’un en son sürümü, aldatıcı bir ad olan download.vmfare ile bir komuta ve kontrol (C2) alanına ulaşıyor[.]meşru bir VMware etki alanına benzer görünen com.
Bu, yazım hatası olarak bilinen bir uygulamadır”, diye Palo Alto Networks Cyber Security News ile paylaştı. Araştırmacılar bir sunucudaki en yeni Bifrost örneğini belirlediler.
Örnek ikili dosya x86 ile derlenmiştir ve çıkarılmış gibi görünmektedir. Soyulmuş bir ikili dosyada hem sembol tabloları hem de hata ayıklama bilgileri kaldırılmıştır. Saldırganlar genellikle analizi engellemek için bu taktiği kullanır.
Kötü amaçlı yazılım, başlangıçta iletişim kuracak bir yuva oluşturmak için setSocket yöntemini kullanıyor, ardından kullanıcı verilerini topluyor ve saldırganın sunucusuna aktarıyor.
.webp)
Soket oluşturulduktan sonra kötü amaçlı yazılım, saldırganın sunucusuna iletmek için kullanıcı bilgilerini toplar.
.webp)
En yeni örnek, RC4 şifrelemesi kullanılarak toplanan kurban verilerini şifreliyor. Kötü amaçlı yazılım daha sonra Tayvan’da bulunan genel bir DNS çözümleyiciyle bağlantı kurmaya çalışır.
Kötü amaçlı yazılım, download.vmfare alan adını çözümlemek amacıyla bir DNS sorgusu başlatmak için genel DNS çözümleyiciyi kullanır.[.]com. Bu adım, kötü amaçlı yazılımın hedef konuma bağlanabildiğinden emin olmak için gereklidir.
.webp)
Kötü amaçlı yazılım, tespit edilmekten kaçınmak için sıklıkla IP adresleri yerine C2 gibi yanıltıcı alan adlarını kullanır.
Araştırmacılar, kötü amaçlı bir IP adresinin aynı zamanda Bifrost’un ARM sürümünü de barındırdığını keşfetti. Bu versiyonun varlığı, saldırganın saldırı alanını artırmaya çalıştığını gösteriyor.
Bu nedenle hassas bilgileri korumak ve bilgisayar sistemlerinin bütünlüğünü korumak için Bifrost gibi kötü amaçlı yazılımları tespit edip ortadan kaldırmak önemlidir.
Bu, yetkisiz giriş olasılığını ve bunun sonucunda oluşabilecek hasarı azaltır.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.