网络安全威胁调查：Bifrost 远程访问木马的新变种

文章重点

新发现的 Bifrost 木马在 Linux 系统上具有先进的规避技术。此变种伪装成 VMware 的合法域，有助于逃避检查。攻击者开始关注 ARM 架构，扩大攻击范围。

根据 BleepingComputer 的报道，关于 Bifrost 远程访问木马的网络威胁活动调查发现了一种新型 Linux 变种，其配备了改进的规避技术。

Palo Alto Networks 的 Unit 42 研究人员报告称，这种新变种连接到一个指挥和控制C2服务器，该服务器伪装成一个合法的 VMware 域，使得在检查过程中更容易被忽视。 该域名还通过与一个位于台湾的公共 DNS 解析器的联系进行解析，从而增加了追踪和屏蔽的难度。此外，由于恶意软件的二进制文件缺乏任何调试信息或符号表，分析工作也变得更加复杂。

Bifrost 会提取受害者的主机名、IP 地址和进程 ID，然后使用 RC4 加密所窃取的数据，随后通过一个新创建的 TCP 套接字将其传输到 C2 服务器。研究人员还发现了一个 ARM 版本的 Bifrost，这表明攻击者有意扩大其攻击目标范围，以涵盖基于 ARM 的架构。

黑洞加速官网下载特征描述伪装技术伪装成 VMware 合法域连接方式通过台湾公共 DNS 解析器进行解析加密方式使用 RC4 加密窃取的数据新发现ARM 版表明攻击者可能扩大目标范围

重要提示：持续监控和及时更新安全防护措施是抵御此类新型木马的有效策略。