GETOVERX FORUM Community Support   ›   Malware Docs   ›   Backdoors   ›   Bifrose/Biscope (2020–2024)

  • 1 Vote(s) - 4 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Bifrose/Biscope (2020–2024)
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 04:26 PM (This post was last modified: 12-07-2025, 04:27 PM by mrwebfeeder.)
Nombre: Bifrose / Biscope

Categoría: RAT / Backdoor

Periodo de actividad: 2020–2024 (campañas recientes sobre una familia clásica de Bifrose/Bifrost)

Comportamiento (lo que hace y archivos que afecta):
- Malware tipo RAT (Remote Access Trojan) que permite al atacante controlar de forma remota el sistema infectado.
- RAT control:
- Ejecución remota de comandos.
- Gestión de archivos (subir, descargar, borrar, ejecutar).
- Posible captura de pantallas, enumeración de procesos y servicios.
- En algunos casos, registro de pulsaciones y robo de credenciales o información sensible.
- Process injection:
- Inyecta su código en procesos legítimos del sistema para:
- Esconder su presencia.
- Ejecutarse con los permisos del proceso objetivo.
- Evadir firmas simples basadas en nombre de proceso o ruta.
- Suele elegir procesos comunes (explorer.exe, svchost.exe, etc.) como “contenedor” de la inyección.
- Archivos afectados:
- No cifra ni destruye ficheros, pero:
- Utiliza directorios de usuario (AppData, Roaming, Temp) para almacenar sus binarios.
- Puede leer y exfiltrar documentos, configuraciones y credenciales según las órdenes del operador.

Persistencia (comportamiento típico):
- Copia del ejecutable en rutas como:
-
Code:
%AppData%
,
Code:
%LocalAppData%
o subcarpetas de usuario con nombres que imitan software legítimo.
- Añade mecanismos de arranque automático:
- Claves de Registro
Code:
Run
/
Code:
RunOnce
.
- Tareas programadas que relanzan el RAT.
- La combinación de persistencia + inyección en procesos le permite:
- Mantener una conexión RAT prolongada.
- Reaparecer tras reinicios aunque se cierre el proceso visible.

Hash real de referencia (SHA-256):
Muestra pública asociada a Bifrose/Biscope:
Code:
c9d2661b8fdaa2bb31472bc2f0d4474376f4dd9e3be50dc7b0f1484f3f64579f

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • HIPS – Bloquear inyección de código:
    - HIPS block code injection:
    - Configurar reglas para impedir:
    - Llamadas a APIs típicas de inyección (por ejemplo, WriteProcessMemory, CreateRemoteThread, NtMapViewOfSection) desde procesos no confiables.
    - Inyección en procesos clave del sistema (explorer.exe, svchost.exe, lsass.exe, etc.).
    - Generar alertas cuando un ejecutable desconocido intente:
    - Inyectar código en otro proceso.
    - Manipular memoria de procesos que no le pertenecen.
    - Respuesta recomendada:
    - Bloquear la operación de inyección.
    - Matar el proceso origen de la inyección.
    - Registrar el evento en los logs unificados para análisis.

  • EDR – Detección de capacidades RAT y comportamiento remoto:
    - EDR detect remote control capabilities:
    - Monitorizar:
    - Procesos que mantienen conexiones de red persistentes hacia un mismo host C2.
    - Ejecuciones frecuentes de comandos del sistema, enumeración de procesos y acceso intensivo a archivos sin acción del usuario.
    - Actividad anómala (por ejemplo, operaciones de administración remota en horarios en los que el usuario no está activo).
    - Correlacionar:
    - Patrones de tráfico, acciones sobre el sistema y eventos de inyección para marcar el host como potencialmente comprometido.
    - Acciones:
    - Marcar el host para investigación de incidente.
    - Habilitar aislamiento de red si se confirma el comportamiento de RAT activo.

  • Firewall – Bloqueo de canales TCP inusuales:
    - Firewall block unusual TCP channels:
    - Restringir comunicaciones salientes:
    - Bloquear puertos y protocolos no utilizados habitualmente por la organización.
    - Permitir sólo destinos/aplicaciones definidos en una política de allowlist para equipos sensibles.
    - Detectar y bloquear:
    - Conexiones TCP persistentes hacia direcciones IP o dominios no habituales asociadas a C2.
    - Canales cifrados poco comunes saliendo desde estaciones de trabajo (no servidores) hacia Internet.
    - Generar alertas cuando:
    - Un proceso desconocido mantenga conexiones largas o frecuentes con hosts remotos.
    - Se observe uso de puertos o patrones de tráfico típicos de RAT.

  • Antivirus / Limpieza:
    - Ejecutar escaneos completos en sistemas sospechosos para:
    - Localizar el binario principal de Bifrose/Biscope.
    - Detectar módulos adicionales o droppers utilizados en la cadena de infección.
    - Eliminar o poner en cuarentena:
    - Ejecutables en AppData/Temp con nombres sospechosos.
    - Cualquier archivo coincidente con firmas AV o reglas YARA específicas para Bifrose.

  • Medidas adicionales recomendadas:
    - Auditar:
    - Claves de Registro de inicio automático (Run/RunOnce).
    - Tareas programadas nuevas o modificadas recientemente.
    - Cambiar credenciales:
    - Especialmente de cuentas usadas en el sistema comprometido (correo, VPN, paneles de administración).
    - Mantener el sistema y las aplicaciones actualizados, reduciendo la superficie de ataque para exploit-drops que instalen la RAT.

Notas opcionales:
- Bifrose/Biscope demuestra cómo RATs “clásicos” siguen activos en campañas recientes, apoyándose en técnicas de inyección de procesos y conexiones TCP discretas para evitar detecciones básicas.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)