Bifrose, APT Backdoors in der Hand Cker Crossbow-Gruppe

durch Milena Dimitrova | Last Update: Dezember 30, 2022 | 0 Kommentare

Bifrose, auch als Bifrost bekannt, Hintertür:Win32 / Bifrose und Backdoor.Bifrose, ist ein Trojaner mit Backdoor Funktion zunächst in entdeckt 2004. Erst vor kurzem, Forscher an der Trendmicro haben eine neue Cyber-Spionage-Angriff durch einen einfallsreich und gut organisierten kriminellen Gruppe gesetzt erkannt, das Unternehmen an die Regierungen in Asien bezogene Ziele.

Die Gruppe steht im Verdacht, aktiv seit 2010. Der Betrieb in Frage wurde nach einer Mutex in einer Hintertür von der Gruppe entwickelt benannt.

Cker Armbrust ist eine Operation, durch wohlgenährten Cyber-Kriminelle mit genügend personelle und finanzielle Mittel verabreicht zu kaufen und zu verbessern, den Quellcode einer Reihe von bösartigen Tools. Wie Sie vielleicht schon erraten haben, einer der erhalten und aktiv Backdoors, die von der Gruppe verwendet wird, ist Bifrose. Leider, Bifrose ist nicht die einzige Hintertür in die Hände der Angreifer.

Andere Bekannte Backdoors:
Duuzer, Brambul und Joanap

Bifrose Backdoor kurze Geschichte der Angriffe

Wie von mehreren Sicherheitsanbieter hingewiesen, die Bifrose Hintertür gibt es schon seit vielen Jahren, auf Grundforen leicht zugänglich.

Gehen wir ein wenig zurück. In 2014, Trendmicro sucht einen gezielten Angriff gegen einen Gerätehersteller. Das ist, als sie entdeckten, dass eine Variante des bekannten Backdoor Bifrose hat wieder aufgetaucht die Malware Horizont. Diese besondere Variante wurde identifiziert und als BKDR_BIFROSE.ZTBG-A erkannt.

Gehen wir zurück ein wenig mehr. Ein weiterer Zwischenfall vorbei, in 2010, beinhaltete eine Spam-Kampagne mit dem Titel "Hier haben Sie '. Die Kampagne gezielte Personal Mitarbeiter in Regierungsbüros, einschließlich der NATO. Der Fall war ganz ähnlich wie moderne APT (Advanced Persistent Threat) Anschläge.

Unter Berücksichtigung der Art der gezielten Opfer - alle irgendwie an Regierungen und Regierungsorganisationen angeschlossen - es ist offensichtlich, dass eine Gruppe Cyberkriminellen ist schuld.

Kivars und Xbow im Cker Crossbow Betrieb

In der Vergangenheit, Bifrose wurde für bis zu verkauft $10,000. Es ist sehr amüsant, dass trotz Bifrose bekannte Netzwerkverkehr, konnte die Gruppe immer noch hinreichend in ihrem Betrieb.

Jedoch, Bifrose ist nicht die einzige Hintertür durch die Gruppe wieder. Eine weitere bösartige Bedrohung, die an der Enste Crossbow Betrieb Kivars. Es ist wichtig zu beachten, dass Kivars und Bifrose teilen ein ähnliches Format der Nachrichten zurück an den Angreifer.

Kivars möglicherweise nicht so anspruchsvoll wie Bifrose, aber es ist immer noch ein wichtiger Backdoor-Asset für die Gruppe. Zudem, in 2013, Kivars begann die Förderung eine aktualisierte 64-Bit-Version, im Einklang mit der Popularisierung der 64-Bit-Systeme.

Überraschend oder nicht, das Forschungsteam von Trend Micro hat den Verdacht, dass Kivars ist in der Tat eine aktualisierte und stark verbesserte Bifrose Shared:

Was wir denken, passiert ist, ist, dass die Gruppe gekauft, den Quellcode der BIFROSE, und nach der Verbesserung seiner Funktionen, die Gruppe dann entwickelt eine neue Installation Strömungs, entwickelt eine neue Builder, um einzigartige loader-Backdoor-Paare erstellen, und machte mehr einfach und prägnant Backdoor Funktion, was zu einer neuen Hintertür-KIVARS. Dies könnte bedeuten, dass die Operation entweder finanziell von seinen Sponsoren die Mittel und Ressourcen gesichert oder die Gruppe muss auf einem vorhandenen Hintertür zu verbessern.

Es gibt mehr. Eine Untersuchung auf einem anderen 'hausgemachten' Hintertür - Xbow - zeigt an, dass es das dritte Stück in der aktuellen Cker Crossbow Betrieb. Seine Entwicklung ist Zurückverfolgt 2010, wenn die böswillige Programmierer waren sichtlich von Bifrose und Kivars inspiriert. Es gibt auffallende Ähnlichkeiten in der "Neue", "Desktop" und "Program" Ordnerpfaden in den drei Hintertüren.

Ein weiterer Beweis: in der Mitte von 2011, mehr Xbow Varianten eine Option 'Passwörter finden "hatten, eine Komponente auch im Bifrose verfügbar.

Wer steckt hinter dem Cker Crossbow Betrieb?

Basierend auf große Analyse gesammelten Daten, Forscher an der Trendmicro hat eine recht interessante Schlussfolgerung gemacht. Mindestens 10 Bedrohung Schauspieler sind für den Aufbau und die Verbreitung Xbow verantwortlich.

Eine kleine Gruppe, die für die Werkzeugentwicklung gewesen sein. Ein anderes Team kann verantwortlich für Infiltration und erfolgreichen Anlaufstelle sein, in gezielten Netzwerke.

Spear Phishing verwendet wurde, sowie Spam-E-Mail-Kampagnen verbreiten schädlichen Anhängen. Solche hängten Dateien sind entweder .rar oder EXE-, wie staatliche Stellen, sondern in der Tat enthält falsche Informationen maskiert.

Eine weitere logische Annahme ist, dass eine dritte Gruppe ist in der Steuerung des Befehls & Steuerserver. Mehr als 100 Befehl & Steuerungsserver sind in der Cker Crossbow Betrieb verwendet worden, über freien dynamischen DNS einige von ihnen registriert. Forscher haben beobachtet, dass die C&C Unterstützungstätigkeiten wie IP Veränderungen und Erneuerung abgelaufener Domains geschieht in einer organisierten Art und Weise. Das Schlimmste? Neue Domains registriert, wie wir sprechen.

Wie Sie Ihr Unternehmen gegen die böswillige Akteure zu schützen?

Security-Anbieter glauben, dass eine sehr kleine Zahl von Unternehmen haben einen ausreichenden Schutz vor gut finanzierte und organisierte Gruppen, wie die hinter Bifrose, Kivars und Xbow. Trendmicro ist Tief Entdeckung Plattform ist ein Weg, um den Schutz eines Unternehmens zu verbessern. Die Plattform ermöglicht IT-Administratoren zu erkennen, zu analysieren und darauf zu reagieren wie fortschrittliche Attacken.

Außerdem, Achten Sie auf Ihre Mitarbeiter zu erziehen. Die Beschäftigung von den folgenden Schritten ist auch sehr empfehlenswert:

Vorbereitung. Die Unternehmen sollten ihre Mitarbeiter und IT-Mitarbeiter für die Bedeutung der aktualisierten Sicherheitsmaßnahmen zu erziehen und schulen sie auf Computer- und Netzwerksicherheitsvorfälle in einer zügigen und angemessenen Art und Weise zu reagieren.

Identifizierung. Das Einsatzteam gemeldet wird, wenn eine mögliche Verletzung stattfindet, und sollte entscheiden, ob es sich um ein sicherheitsrelevantes Ereignis oder etwas anderes. Das Team wird oft empfohlen, den CERT Coordination Center kontaktieren, welche Spuren und Aufzeichnungen Internet-Sicherheitsaktivitäten und sammelt die neuesten Informationen über Bedrohungen.

Containment. Die Reaktionsteam entscheidet über den Schweregrad und die Spannweite der Ausgabe. Trennen Sie alle betroffenen Systeme und Geräte, um weitere Schäden zu verhindern wird auch angewendet,.

Ausrottung. Die Response-Team geht mit der Untersuchung der Herkunft des Angriffs offen zu legen. Die Ursache des Problems und alle bösartigen Code Reste beseitigt werden.

Erholung. Daten und Software werden von sauberen Backup-Dateien wiederhergestellt, darauf achten, dass keine Sicherheitslücken übrig. Systeme sind auf Anzeichen von Anfälligkeit eines Fehlers überwacht.

Lessons learned. Die Response Team analysiert den Angriff und die Art, wie es behandelt wurde, Fragen und erarbeitet Empfehlungen für die bessere Zukunft Antwort und zum Wohle der Störfallvorsorge.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir: