นักวิจัยจาก Palo Alto Networks Unit 42 พบเทคนิคใหม่ของโทรจัน Linux มีชื่อว่า Biforst RAT (aka Bifrose) ใช้เทคนิคในการหลบเลี่ยงการตรวจจับ โดยใช้โดเมนหลอกลวงที่เลียนแบบโดเมนของ VMware ที่ถูกต้อง คือ download.vmfare[.]com (ที่ถูกต้องจะเป็น vmware[.]com)

Bifrost RAT ถูกพบครั้งแรกตั้งแต่ปี 2004 ช่วยให้ผู้ไม่หวังดีรวบรวมข้อมูลที่ละเอียดอ่อน เช่น Hostname และ IP address Malware แพร่ไปยังผู้ใช้ผ่านไฟล์แนบอีเมลที่เป็นอันตรายหรือเว็บไซต์ที่ปล่อย payload จากนั้นจึงรวบรวมข้อมูลโฮสต์  นักวิจัยจาก Unit 42 ยังสังเกตเห็นการเพิ่มขึ้นของรูปแบบ Linux ของ Bifrost ในช่วงไม่กี่เดือนที่ผ่านมา

Bifrost เวอร์ชันล่าสุดเข้าถึงโดเมน command and control (C2) ที่มีชื่อ download.vmfare[.]com ซึ่งมีลักษณะคล้ายกับโดเมน VMware ที่ถูกต้อง ทำให้พลาดได้ง่ายในระหว่างการตรวจสอบ เป็นเทคนิคที่เรียกว่า Typosquatting โดเมนหลอกลวงนี้พยายามติดต่อ DNS resolver ที่ใช้ IP address 168.95.1[.]1 ซึ่งเป็น public DNS ของประเทศไต้หวัน ทำให้การติดตามและการบล็อกทำได้ยากขึ้น

‍

ตัวอย่างไบนารีที่วิเคราะห์โดยผู้เชี่ยวชาญได้ compile สำหรับ x86 ผู้ที่พัฒนา Bifrost ได้ลบข้อมูลการดีบักและตารางสัญลักษณ์(Symbol table) ออกเพื่อขัดขวางการวิเคราะห์ Bitfrost รวบรวม Hostname, IP address และ Process ID ของเหยื่อ และใช้การเข้ารหัส RC4 เพื่อเข้ารหัสข้อมูลเหยื่อที่รวบรวมไว้ จากนั้นส่งข้อมูลไปยัง C2 ผ่านซ็อกเก็ต TCP ที่สร้างขึ้นใหม่

Unit 42 ยังค้นพบมัลแวร์ Bitfrost เวอร์ชัน ARM ซึ่งมีฟังก์ชันการทำงานเหมือนกับตัวอย่าง x86 อีกด้วย การเกิดขึ้นนี้แสดงให้เห็นว่าผู้ไม่หวังดีตั้งใจที่จะขยายขอบเขตการกำหนดเป้าหมายไปยังสถาปัตยกรรมที่ใช้ ARM ซึ่งปัจจุบันกลายเป็นเรื่องปกติมากขึ้นในสภาพแวดล้อมต่าง ๆ

แม้ว่า Bitfrost อาจไม่จัดว่าเป็นภัยคุกคามที่มีความซับซ้อนสูงหรือเป็นหนึ่งในมัลแวร์ที่แพร่กระจายอย่างกว้างขวางที่สุด แต่การค้นพบที่ทำโดยทีม Unit 42 เรียกร้องให้มีการเฝ้าระวังเพิ่มขึ้น ซึ่งพฤติกรรมการใช้ Bifrost ที่พุ่งสูงขึ้นเมื่อเร็ว ๆ นี้ เน้นย้ำถึงลักษณะที่เป็นอันตรายของมัลแวร์นี้ โดยรายละเอียด IOC สามารถดูได้จาก link อ้างอิง

อ้างอิง https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/

‍

‍