hackingnews.de

Cybersecurity Neuigkeiten aus aller Welt

Neue BIFROSE Linux Malware-Variante nutzt betrügerische VMware-Domain zur Umgehung

Mrz 1, 2024

Neue Linux-Variante des Remote Access Trojaners BIFROSE entdeckt

Cybersicherheitsforscher haben eine neue Linux-Variante eines Remote Access Trojaners (RAT) namens BIFROSE entdeckt, der eine täuschende Domain verwendet, die VMware imitiert.

Laut den Forschern von Palo Alto Networks Unit 42, Anmol Maurya und Siddharth Sharma, zielt diese neueste Version von Bifrost darauf ab, Sicherheitsmaßnahmen zu umgehen und gezielte Systeme zu kompromittieren.

Der BIFROSE ist eine langjährige Bedrohung, die seit 2004 aktiv ist. Berichten zufolge wurde er bereits in der Vergangenheit in Untergrundforen für bis zu 10.000 US-Dollar zum Verkauf angeboten. Er wurde von einer staatlich unterstützten Hackergruppe aus China namens BlackTech eingesetzt, die Organisationen in Japan, Taiwan und den USA angegriffen hat.

Eine Linux-Variante von BIFROSE (auch bekannt als ELF_BIFROSE) wurde seit mindestens 2020 beobachtet und verfügt über Funktionen zum Starten ferngesteuerter Shells, zum Herunterladen/Hochladen von Dateien und zum Durchführen von Dateioperationen.

Was die neueste Variante von BIFROSE besonders macht, ist, dass sie versucht, über einen Befehls- und Kontrollserver mit dem Namen „download.vmfare[.]com“ Kontakt aufzunehmen, um sich als VMware zu tarnen. Die täuschende Domain wird aufgelöst, indem ein DNS-Resolver in Taiwan mit der IP-Adresse 168.95.1.1 kontaktiert wird.

Unit 42 hat seit Oktober 2023 eine Zunahme der Aktivität von Bifrost festgestellt und dabei mindestens 104 Artefakte in seiner Telemetrie identifiziert. Es wurde auch eine Arm-Version des Schadprogramms entdeckt, was darauf hindeutet, dass die Bedrohungsakteure wahrscheinlich versuchen, ihren Angriffsflächen zu erweitern.

Die Entwicklung kommt zu einem Zeitpunkt, an dem McAfee Labs eine neue GuLoader-Kampagne beschrieb, die das Schadprogramm über bösartige SVG-Anhänge in E-Mail-Nachrichten verbreitet.

Der Bifrost-Angriff fällt mit der Veröffentlichung einer neuen Version des Warzone RAT zusammen, bei der kürzlich zwei Betreiber verhaftet und die Infrastruktur von der US-Regierung zerschlagen wurde.

Ähnliche Beiträge

Wie Cyberkriminelle Indiens UPI für Geldwäscheoperationen ausnutzen

Über 100 bösartige KI-/ML-Modelle auf der Hugging Face-Plattform entdeckt

Phobos Ransomware zielt aggressiv auf US-Kritische Infrastruktur ab