Trend Micro: Модифицированная версия Bifrose использовалась в таргетированных атаках

image

Теги: обнаружение вирусов, похищение персональных данных

Новая разновидность бэкдора использует сеть Tor для соединения с C&C-сервером.

Компания Trend Micro заявила об обнаружении нового варианта бэкдора Bifrose, который использовался для совершения кибератаки на неизвестного производителя устройств. Получивший название BKDR_BIFROSE.ZTBG-A, новый бэкдор использует анонимную сеть Tor для соединения с C&C-сервером.

После заражения устройства бэкдор позволяет злоумышленникам выполнять разнообразные задачи – загружать произвольные файлы, создавать и удалять папки, запускать произвольные программы, перехватывать клавиатурные нажатия и изображения web-камер, делать скриншоты, останавливать процессы и манипулировать окнами.

По словам специалиста Trend Micro Кристофера Дэниела Со (Christopher Daniel So), Bifrose в основном используется в качестве кейлоггера, но вредонос способен на гораздо большее количество действий. Эксперт описал в своем  блоге , что Bifrose позволяет злоумышленнику полностью управлять зараженным компьютером без компрометации учетных данных жертвы.

Чтобы выяснить, заражены ли корпоративные сети новой разновидностью Bifrose, достаточно проверить наличие в них трафика Tor. Обычно организации не используют анонимные сети для совершения регулярных операций, поэтому обнаружение трафика Tor в корпоративной сети – достаточно верный признак заражения. Также можно выполнить поиск файла klog.dat, который используется бэкдором для перехвата клавиатурных нажатий, проверить журналы сети и почты.

Bifrose появился примерно в сентябре 2008 года. Известность бэкдор приобрел в 2010 году, когда в ходе операции «Here You Have» киберпреступники пытались заразить корпоративные сети НАТО и Африканского союза.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.