«Bifrost-ի այս վերջին տարբերակը նպատակ ունի շրջանցել անվտանգության պաշտպանությունը և վտանգել թիրախային համակարգերը», – ասում են Palo Alto Networks Unit 42–ի փորձագետներ՝ Անմոլ Մաուրյանն ու Սիդհարթ Շարմանը։
BIFROSE-ը 2004 թվականից ի վեր մեծ տարածում գտած վտանգներից է: Քողարկված ֆորումներում այն վաճառքի է հանվել մինչև 10,000 դոլարով:
BIFROSE-ի Linux տարբերակները (նաև ELF_BIFROSE) դեռևս ակտուալ են եղել 2020 թվականից։ Դրանց նպատակը remote shel–եր, download/upload file–եր և perform file–երի շրջանակում տարբեր հրամանների գործարկումն է։
«Հաքերները Bifrost-ը սովորաբար տարածում են էլ․ փոստի հավելվածների կամ կասկածելի կայքերի միջոցով», – նշում են փորձագետները։
«Տեղադրվելուց հետո Bifrost-ը հաքերներին հնարավորություն է տալիս հավաքագրել համակարգերում պահեստավորված կոնֆիդենցիալ տվյալները, թիրախային օգտատերերի անուններն ու IP հասցեները»:
Վերջին տարբերակն ուշագրավ է նրանով, որ այն «download.vmfare[.]com»–ով հասնում է command-and-control (C2) սերվերին։ Պրոցեսի ժամանակ, 168.95.1[.]1 IP հասցեի միջոցով կապ է հաստատվում Թայվանում գտնվող DNS resolver–ի հետ:
Բացահայտման առաջին քայլերը տեղի ունեցան, երբ McAfee Labs–ը մանրամասնեց նոր GuLoader–ի արշավը, որը SVG ֆորմատով էլ․ փոստի հաղորդագրություններում malware–ներ էր տարածում։ Malware-ը նաև նկատվել է VBS սկրիպտների միջոցով։
Bifrost-ի և GuLoader-ի հարձակումները համընկնում են Warzone RAT-ի նոր տարբերակի թողարկման հետ։
Աղբյուրը՝ https://thehackernews.com/
