Компания Trend Micro заявила об обнаружении нового варианта бэкдора Bifrose, который использовался для совершения кибератаки на неизвестного производителя устройств. Получивший название BKDR_BIFROSE.ZTBG-A, новый бэкдор использует анонимную сеть Tor для соединения с C&C-сервером.
После заражения устройства бэкдор позволяет злоумышленникам выполнять разнообразные задачи – загружать произвольные файлы, создавать и удалять папки, запускать произвольные программы, перехватывать клавиатурные нажатия и изображения web-камер, делать скриншоты, останавливать процессы и манипулировать окнами.
По словам специалиста Trend Micro Кристофера Дэниела Со (Christopher Daniel So), Bifrose в основном используется в качестве кейлоггера, но вредонос способен на гораздо большее количество действий. Эксперт описал в своем блоге , что Bifrose позволяет злоумышленнику полностью управлять зараженным компьютером без компрометации учетных данных жертвы.
Чтобы выяснить, заражены ли корпоративные сети новой разновидностью Bifrose, достаточно проверить наличие в них трафика Tor. Обычно организации не используют анонимные сети для совершения регулярных операций, поэтому обнаружение трафика Tor в корпоративной сети – достаточно верный признак заражения. Также можно выполнить поиск файла klog.dat, который используется бэкдором для перехвата клавиатурных нажатий, проверить журналы сети и почты. Bifrose появился примерно в сентябре 2008 г. Известность бэкдор приобрел в 2010 г., когда в ходе операции “Here You Have” киберпреступники пытались заразить корпоративные сети НАТО и Африканского союза. (TrendMicro/NovostIT)