Модифицированная версия Bifrose использовалась в таргетированных атаках

Компания Trend Micro заявила об обнаружении нового варианта бэкдора Bifrose, который использовался для совершения кибератаки на неизвестного производителя устройств. Получивший название BKDR_BIFROSE.ZTBG-A, новый бэкдор использует анонимную сеть Tor для соединения с C&C-сервером.

После заражения устройства бэкдор позволяет злоумышленникам выполнять разнообразные задачи – загружать произвольные файлы, создавать и удалять папки, запускать произвольные программы, перехватывать клавиатурные нажатия и изображения web-камер, делать скриншоты, останавливать процессы и манипулировать окнами.

По словам специалиста Trend Micro Кристофера Дэниела Со (Christopher Daniel So), Bifrose в основном используется в качестве кейлоггера, но вредонос способен на гораздо большее количество действий. Эксперт описал в своем блоге , что Bifrose позволяет злоумышленнику полностью управлять зараженным компьютером без компрометации учетных данных жертвы.

Чтобы выяснить, заражены ли корпоративные сети новой разновидностью Bifrose, достаточно проверить наличие в них трафика Tor. Обычно организации не используют анонимные сети для совершения регулярных операций, поэтому обнаружение трафика Tor в корпоративной сети – достаточно верный признак заражения. Также можно выполнить поиск файла klog.dat, который используется бэкдором для перехвата клавиатурных нажатий, проверить журналы сети и почты.

Bifrose появился примерно в сентябре 2008 года. Известность бэкдор приобрел в 2010 году, когда в ходе операции «Here You Have» киберпреступники пытались заразить корпоративные сети НАТО и Африканского союза.

Источник: securitylab.ru

Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s