Поддельные домены как оружие: живучий троян BIFROSE пробрался в системы Linux

Поддельные домены как оружие: живучий троян BIFROSE пробрался в системы Linux

Исследователи рассказывают о новых фишках старой киберугрозы.

image

Исследователи из компании Palo Alto Networks обнаружили новый вариант известного трояна для удаленного доступа - BIFROSE (также известного как Bifrost). Обновленная версия адаптирована для атак на системы Linux. Ее отличительная особенность - использование поддельного домена, внешне похожего на легитимный сайт VMware — download.vmfare[.]com.

Такая маскировка помогает обойти меры безопасности и облегчить компрометацию атакуемых сетей.

BIFROSE считается одной из самых долгоживущих киберугроз — она орудует с 2004 года. В 2015 году специалисты Trend Micro сообщали, что исходный код трояна продавался на подпольных форумах по цене до $10 000.

За BIFROSE стоит китайская хакерская группировка BlackTech (также известная как Circuit Panda, Manga Taurus, Palmerworm и под другими именами). Она нацелена преимущественно на организации в Японии, Тайване и США. Предположительно, хакеры приобрели вредоносный софт в 2010 году и переработали под собственные нужды, интегрировав бэкдоры KIVARS и XBOW.

Варианты BIFROSE для Linux, получившие обозначение ELF_BIFROSE, распространяются как минимум с 2020 года . Они способны запускать удаленные оболочки, скачивать/отправлять файлы и манипулировать файловой системой.

В Palo Alto Networks отслеживают резкий всплеск активности BIFROSE с октября 2023 года — за это время зафиксировано минимум 104 инцидента. Также идентифицирована версия для процессоров Arm, что указывает на планы злоумышленников расширить диапазон атак.

Эксперты предупреждают, что использование вирусом BIFROSE обманных доменов, имитирующих известные бренды, в сочетании с недавним резким ростом его активности, подчеркивает опасный и изощренный характер этой угрозы.

Помимо BIFROSE, специалисты McAfee Labs выявили новую кампанию по распространению трояна GuLoader через вредоносные SVG-файлы и VBS-скрипты, которые прикрепляются к электронным письмам. Также появилась новая версия банковского трояна Warzone RAT, чья инфраструктура была обезврежена, а двое операторов арестованы властями США.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!