BIFROSE

BIFROSEはバックドアマルウェアで、RaaSの仕組みのようにインターネット上で入手が可能であるため、様々なサイバー攻撃に使用されています。
オリジナルのBIFROSEは、平成22年から確認されている「Here you have」と呼ばれるスパムメール活動に用いられているもので、政府機関の人事部を標的とした攻撃が確認されています。

拡散されているBIFROSEの亜種の中には、C&Cサーバとの通信間にTorが使用されることから、このマルウェア検出は困難であるとのことです。

平成22年に発生したShrouded Crossbow攻撃キャンペーンでは、BIFROSEが用いられていました。

 

BIFROSEの動作

・ファイルのダウンロード及びアップロード
・ファイルサイズや最新の更新日時等、ファイルの詳細情報の取得
・フォルダの作成及び削除
・関数「ShellExecute」を用いたファイルの開封
・コマンドラインの実行
・ファイル名の改称
・すべてのウィンドウとそのプロセスIDの列挙
・ウィンドウを閉じる、最前面に移動、隠すの操作
・キー入力操作情報及びマウス操作記録をウィンドウに送信
・プロセスの終了
・ディスプレイ解像度の取得
・コンテンツ「<Windows>\winieupdates\klog.dat」のアップロード
・スクリーンショット及びWebカメラの画像の取得

 

関連リンク

マルウェアに関する報告

マルウェアPLEADについて

スパムメール被害事例一覧 HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop