Cybersecurity-onderzoekers hebben een nieuwe Linux-variant ontdekt van een trojan voor externe toegang (RAT), genaamd BIFROSE (ook bekend als Bifrost), die een misleidend domein gebruikt dat VMware nabootst.
“Deze nieuwste versie van Bifrost heeft tot doel beveiligingsmaatregelen te omzeilen en gerichte systemen in gevaar te brengen”, aldus Palo Alto Networks Unit 42-onderzoekers Anmol Maurya en Siddharth Sharma.
BIFROSE is een van de al lang bestaande bedreigingen die al sinds 2004 actief is. Volgens een rapport van Trend Micro uit december 2015 is het in het verleden in ondergrondse fora te koop aangeboden voor maximaal $10.000.
De malware is in gebruik genomen door een door de staat gesteunde hackgroep uit China, bijgehouden als BlackTech (ook bekend als Circuit Panda, HUAPI, Manga Taurus, Palmerworm, PLEAD, Red Djinn en Temp.Overboard), die een geschiedenis heeft van opvallende organisaties in Japan, Taiwan en de VS
Er wordt vermoed dat de bedreigingsacteur de broncode rond 2010 heeft gekocht of er toegang toe heeft gekregen, en de malware opnieuw heeft gebruikt voor gebruik in zijn eigen campagnes via aangepaste achterdeurtjes zoals KIVARS en XBOW.
Linux-varianten van BIFROSE (ook bekend als ELF_BIFROSE) zijn in ieder geval sinds 2020 waargenomen met mogelijkheden om externe shells te starten, bestanden te downloaden/uploaden en bestandsbewerkingen uit te voeren.
“Aanvallers verspreiden Bifrost doorgaans via e-mailbijlagen of kwaadaardige websites”, aldus de onderzoekers. “Eenmaal geïnstalleerd op de computer van een slachtoffer, stelt Bifrost de aanvaller in staat gevoelige informatie te verzamelen, zoals de hostnaam en het IP-adres van het slachtoffer.”
Wat de nieuwste variant opmerkelijk maakt, is dat deze verbinding maakt met een command-and-control (C2)-server met de naam “download.vmfare[.]com” in een poging zich voor te doen als VMware. Het misleidende domein wordt opgelost door contact op te nemen met een in Taiwan gevestigde openbare DNS-resolver met het IP-adres 168.95.1[.]1.
Eenheid 42 zei dat het sinds oktober 2023 een piek in de Bifrost-activiteit had gedetecteerd en niet minder dan 104 artefacten in zijn telemetrie had geïdentificeerd. Verder werd een Arm-versie van de malware ontdekt, wat erop wijst dat de dreigingsactoren waarschijnlijk hun aanvalsoppervlak willen uitbreiden.
“Met nieuwe varianten die gebruik maken van misleidende domeinstrategieën zoals typosquatting, benadrukt een recente piek in Bifrost-activiteit de gevaarlijke aard van deze malware”, aldus de onderzoekers.
De ontwikkeling komt op het moment dat McAfee Labs een nieuwe GuLoader-campagne heeft uitgewerkt die de malware verspreidt via kwaadaardige SVG-bestandsbijlagen in e-mailberichten. Er is ook waargenomen dat de malware wordt verspreid via VBS-scripts als onderdeel van een uit meerdere fasen bestaande payload-levering.
“Deze recente golf benadrukt de evoluerende tactieken voor een breder bereik en ontduiking”, Trustwave SpiderLabs gezegd in een bericht op X eerder deze week.
De Bifrost- en GuLoader-aanvallen vallen samen met de uitgave van een nieuwe versie van de Warzone RAT, waarvan onlangs twee van zijn exploitanten werden gearresteerd en de infrastructuur werd ontmanteld door de Amerikaanse overheid.
