サイバーセキュリティ研究者たちは、VMwareを装った偽のドメインを使用して回避を図る新しいLinux版のリモートアクセストロイの木馬(RAT)であるBIFROSE(別名Bifrost)の変種を発見した。この最新バージョンのBifrostは、セキュリティ対策を回避し、対象システムを侵害することを目的としている。BIFROSEは2004年から活動している長期にわたる脅威であり、過去には地下フォーラムで最大$10,000で販売されていた。このマルウェアは、中国の国家支援ハッキンググループであるBlackTechによって使用されており、日本、台湾、米国の組織を攻撃してきた歴史がある。脅威アクターは2010年頃にソースコードを購入またはアクセスを得て、KIVARSやXBOWなどのカスタムバックドアを介して自身のキャンペーンでマルウェアを再利用しているとされる。Linux版のBIFROSE(別名ELF_BIFROSE)は、少なくとも2020年から観察されており、リモートシェルの起動、ファイルのダウンロード/アップロード、ファイル操作を行う能力がある。
攻撃者は通常、Bifrostを電子メールの添付ファイルや悪意のあるウェブサイトを通じて配布する。被害者のコンピュータにインストールされると、Bifrostは攻撃者が被害者のホスト名やIPアドレスなどの機密情報を収集することを可能にする。最新の変種は、VMwareに偽装する試みとして「download.vmfare[.]com」という名前のコマンドアンドコントロール(C2)サーバーに接続することが特筆される。この偽のドメインは、IPアドレス168.95.1[.]1を持つ台湾の公共DNSリゾルバに接触することで解決される。Unit 42は、2023年10月以降、Bifrost活動の急増を検出し、テレメトリーで104以上のアーティファクトを特定した。さらに、マルウェアのArmバージョンも発見され、脅威アクターが攻撃対象を拡大しようとしている可能性が示唆されている。新しい変種がタイポスクワッティングのような偽装ドメイン戦略を採用していることで、Bifrost活動の最近の急増はこのマルウェアの危険性を強調している。
【ニュース解説】
サイバーセキュリティの研究者たちが、新たなLinux版のリモートアクセストロイの木馬(RAT)であるBIFROSE(別名Bifrost)の変種を発見しました。この変種は、VMwareを装った偽のドメイン「download.vmfare[.]com」を使用して、セキュリティ対策を回避しようとする特徴があります。この偽のドメインは、台湾にある公共DNSリゾルバを介して解決されます。この発見は、セキュリティ業界において重要な意味を持ちます。
BIFROSEは、2004年から活動している長期にわたる脅威であり、過去には地下フォーラムで最大$10,000で販売されていたことがあります。このマルウェアは、中国の国家支援ハッキンググループであるBlackTechによって使用されており、日本、台湾、米国の組織を攻撃してきた歴史があります。Linux版のBIFROSEは、リモートシェルの起動、ファイルのダウンロード/アップロード、ファイル操作を行う能力があることが知られています。
この最新の変種が注目される理由は、偽装ドメイン戦略を採用している点にあります。タイポスクワッティングと呼ばれるこの手法は、ドメイン名を紛らわしくすることで、ユーザーやセキュリティシステムを欺くことを目的としています。この戦略により、マルウェアは検出を回避しやすくなり、感染の成功率が高まります。
このような偽装ドメインを使用することのリスクは、セキュリティ対策の回避だけでなく、信頼されているブランドやサービスに対する信頼性の損失にもつながります。ユーザーは、正規のサービスと思い込んで偽のドメインにアクセスし、機密情報を盗まれるリスクにさらされます。
この発見は、サイバーセキュリティ対策の重要性を再確認させるものです。組織や個人は、使用するソフトウェアやサービスのドメイン名を慎重に確認し、不審な点があれば直ちにアクセスを避けるべきです。また、セキュリティソフトウェアの更新を常に最新の状態に保ち、不正なアクセスやマルウェアの感染を未然に防ぐための対策を講じることが求められます。
長期的な視点では、このような偽装ドメインを使用した攻撃の増加は、ドメイン名システム(DNS)のセキュリティ強化や、偽装ドメインの検出技術の進化を促す可能性があります。また、サイバーセキュリティ教育の重要性が高まり、ユーザーが自らを守るための知識と意識を持つことがより一層重要になってくるでしょう。
from New BIFROSE Linux Malware Variant Using Deceptive VMware Domain for Evasion.
