Casa > Ciber Noticias > Bifrose, Puertas traseras de APT en las Manos de protegida Ballesta Grupo
CYBER NOTICIAS

Bifrose, Puertas traseras de APT en las Manos de protegida Ballesta Grupo

por   |  Last Update:  |  0 Comentarios  

de acceso remoto-Trojan-sensorstechforumBifrose, también conocido como Bifrost, Puerta Trasera:Win32 / Bifrose y Backdoor.Bifrose, es un troyano con capacidades de puerta trasera primero descubiertos en 2004. Recientemente, investigadores de TrendMicro han detectado un nuevo ataque de ciberespionaje establecido por un grupo criminal ingenioso y bien organizada, que se dirige a empresas relacionadas con los gobiernos en Asia.

El grupo es sospechoso de haber estado activo desde 2010. La operación en cuestión lleva el nombre de un mutex en una puerta trasera desarrollada por el grupo.

Cubierto Ballesta es una operación administrada por los delincuentes cibernéticos bien alimentados con suficientes recursos humanos y financieros para comprar y mejorar el código fuente de una serie de herramientas maliciosas. Como habrás adivinado ya, una de las puertas traseras obtenidos y activamente utilizado por el grupo es Bifrose. Desafortunadamente, Bifrose no es la única puerta de atrás en las manos de los atacantes.

Otros Backdoors notables:
Duuzer, Brambul y Joanap

Bifrose Backdoor Breve Historia de los ataques

Como señalan varios proveedores de seguridad, la puerta de atrás Bifrose ha existido durante muchos años, de fácil acceso en los foros subterráneos.

Volvamos un poco. En 2014, TrendMicro investigó un ataque dirigido contra un fabricante de dispositivos. Esto es cuando descubrieron que una variante de la conocida puerta trasera Bifrose ha resurgido el horizonte de malware. Esta variante particular fue identificado y detectado como BKDR_BIFROSE.ZTBG-A.

Volvamos un poco más. Otro incidente del pasado, en 2010, incluyó una campaña de spam titulado 'Aquí tienes'. La campaña dirigida empleados de recursos humanos en las oficinas de gobierno, incluyendo la OTAN. El caso fue bastante similar a la moderna APT (amenaza persistente avanzada) ataques.

Teniendo en cuenta la naturaleza de las víctimas específicas - todos de alguna manera conectado a los gobiernos y las organizaciones no gubernamentales - es evidente que un grupo criminal cibernético tiene la culpa.

Kivars y Xbow en la Ballesta Operación protegida

En el pasado, Bifrose fue vendido para un máximo de $10,000. Es muy divertido que a pesar de conocido el tráfico de red de Bifrose, el grupo todavía podría usar lo suficiente en sus operaciones.

Sin embargo, Bifrose no es la única puerta trasera revivido por el grupo. Otra amenaza maliciosa de tomar parte en la operación protegida Ballesta es Kivars. Es importante señalar que Kivars y Bifrose comparten un formato similar de los mensajes enviados de nuevo a los atacantes.

Kivars pueden no ser tan sofisticado como Bifrose pero sigue siendo un importante activo de puerta trasera para el grupo. Por otra parte, en 2013, Kivars comenzaron a promover una versión mejorada de 64 bits, en sintonía con la popularización de los sistemas de 64 bits.

Sorprendentemente o no, el equipo de investigación de Trend Micro ha compartido sospechas de que Kivars es de hecho una mejor Bifrose actualizado y mucho:

Lo que creo que pasó es que el grupo adquirió el código fuente de Bifrose, y después de la mejora de sus funciones, Posteriormente, el grupo ha diseñado un nuevo flujo de instalación, desarrollado un nuevo constructor para crear pares-loader backdoor únicas, e hizo capacidades de puerta trasera más simples y concisas, lo que resulta en un nuevo backdoor-KIVARS. Esto podría significar que la operación está bien respaldado financieramente por sus patrocinadores o el grupo tiene los fondos y recursos para mejorar en una puerta trasera existente.

Hay más. Una investigación en otro 'hecho en casa' puerta trasera - Xbow - indica que es la tercera pieza en la operación actual Cubierto Crossbow. Su desarrollo se remonta a 2010, cuando los codificadores maliciosos fueron inspirados por visiblemente Bifrose y Kivars. Hay sorprendentes similitudes en la 'reciente', "Escritorio" y rutas de carpetas 'Programa' en las tres puertas traseras.

Otra prueba: en el medio de 2011, varias variantes Xbow tenían una opción 'Buscar' Contraseñas, un componente también disponible en Bifrose.

¿Quién está detrás de la Operación Crossbow protegida?

Basado en gran análisis sobre los datos recogidos, investigadores de TrendMicro han hecho una conclusión muy interesante. Al menos 10 actores de amenaza son los responsables de la construcción y difusión Xbow.

Un pequeño grupo puede haber estado a cargo del proceso de desarrollo de herramientas. Otro equipo puede estar a cargo de la infiltración y el punto de entrada exitosa en las redes apuntado.

Lanza el phishing se ha utilizado, así como campañas de correo electrónico de spam difusión adjuntos maliciosos. Tales archivos adjuntos son o .rar o .exe, disfrazado como entidades gubernamentales pero en realidad contiene información falsa.

Una de las hipótesis más lógico es que un tercer grupo está en el control del comando & servidores de control. Más que 100 mando & servidores de control se han utilizado en la operación protegida Crossbow, algunos de ellos registrados a través de DNS dinámico libre. Los investigadores han observado que la C&Actividades de apoyo C como cambios de propiedad intelectual y renovación de dominios expirados suceden de una manera organizada. La peor parte? Nuevos dominios se están registrando en estos momentos.

Cómo proteger su empresa contra los actores maliciosos?

Los proveedores de seguridad creen que un número muy pequeño de las organizaciones tienen una protección suficiente contra los grupos bien financiados y organizados, como el que está detrás Bifrose, Kivars y Xbow. TrendMicro de Descubrimiento Profundo plataforma es una forma de mejorar la protección de una empresa. La plataforma permite a los administradores de TI para detectar, analizar y responder a este tipo de ataques avanzados.

Adicionalmente, asegúrese de educar a sus empleados. El empleo de los siguientes pasos es también muy recomendable:

  • Preparación. Las empresas deben educar a sus empleados y el personal de TI de la importancia de las medidas de seguridad actualizados y capacitarlos para responder a incidentes informáticos y de seguridad de la red de una manera rápida y adecuada.
  • Identificación. El equipo de respuesta se señala cada vez que una posible infracción tiene lugar, y debe decidir si se trata de un incidente de seguridad o algo más. El equipo se recomienda a menudo para ponerse en contacto con el Centro de Coordinación CERT, que rastrea y registra las actividades de seguridad de Internet y recopila la información más reciente sobre amenazas maliciosas.
  • Contención. El equipo de respuesta decide sobre la gravedad y la duración de la emisión. Desconexión de todos los sistemas y dispositivos afectados para evitar daños mayores también se aplica.
  • Erradicación. El equipo de respuesta continúa con la investigación para revelar el origen del ataque. La causa raíz del problema y todas las sobras de códigos maliciosos se erradicó.
  • Recuperación. Los datos y el software se restablecen a partir de archivos de copia de seguridad limpias, asegurándose de que no hay vulnerabilidades se dejan. Los sistemas son monitoreados para detectar cualquier signo de la propensión a una falla.
  • Lecciones aprendidas. El equipo de respuesta analiza el ataque y la forma en que fue tratado, y prepara recomendaciones para la mejor respuesta futuro y en aras de la prevención de incidentes.

    • Milena Dimitrova

    Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

    Más Mensajes

    Sígueme:
    Gorjeo

    Artículos Relacionados:
    1. Predica Sobre el incumplimiento: CVE y Respuesta a Incidentes Vulnerabilidades, proveedores y empresas. Las tres palabras a menudo se unen,...
    2. T9000 – la puerta trasera avanzada que captura la actividad de Skype Has oído, o peor - experimentaron, the T5000 backdoor...
    3. Cómo descifrar archivos ransomware Esta entrada de blog ha sido creada con el fin de ayudar....
    4. Puerta Trasera:Win32 / Kirts.A: Quitarlo y proteger su sistema Un acceso de puerta trasera no autorizado a su sistema puede comprometerlo..
    5. Retire ingreslock puerta trasera y bloqueo TCP 1524 informes de seguridad han aparecido con respecto a una vulnerabilidad de la red, identificado como...
    6. 5 Consejos para la implementación de una política BYOD seguro BYOD (trae tu propio dispositivo) is quickly becoming the workplace...
    7. .grupo de virus del archivo (Dharma ransomware) – Removerlo ¿Qué es el virus del archivo .grupo? También se llama Dharma...
    8. Conoce a tu internet: 7 de los puntos más peligrosos del Web Recuerda esos momentos en los que el uso de Internet y (owning a...

    Dejar un comentario

    Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

    This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
    Estoy de acuerdo