Băng đảng phần mềm độc hại TrickBot nâng cấp AnchorDNS Backdoor thành AnchorMail

Ngay cả khi cơ sở hạ tầng TrickBot đóng cửa cửa hàng, những người điều hành phần mềm độc hại vẫn tiếp tục tinh chỉnh và trang bị lại kho vũ khí của họ để thực hiện các cuộc tấn công mà đỉnh điểm là việc triển khai Conti .

IBM Security X-Force, đã phát hiện ra phiên bản cải tiến của cửa hậu của băng nhóm tội phạm, được mệnh danh là biến thể mới, được nâng cấp AnchorMail.

AnchorMail “sử dụng một email dựa trên [command-and-control] Máy chủ mà nó giao tiếp bằng cách sử dụng các giao thức SMTP và IMAP qua TLS, “kỹ sư đối chiếu phần mềm độc hại của IBM, Charlotte Hammond, cho biết.” Ngoại trừ cơ chế giao tiếp C2 được đại tu, hành vi của AnchorMail phù hợp rất chặt chẽ với hành vi của người tiền nhiệm AnchorDNS. “

Tác nhân tội phạm mạng đứng sau TrickBot, ITG23 hay còn gọi là Wizard Spider, cũng được biết đến với của khung phần mềm độc hại Anchor, một cửa hậu dành riêng cho việc nhắm mục tiêu các nạn nhân có giá trị cao được chọn kể từ ít nhất là năm 2018 thông qua TrickBot và BazarBackdoor (hay còn gọi là BazarLoader), một thiết bị cấy ghép bổ sung được thiết kế bởi cùng một nhóm.

Trong những năm qua, nhóm cũng đã được hưởng lợi từ mối quan hệ cộng sinh với tập đoàn ransomware Conti, với tập đoàn này tận dụng tải trọng TrickBot và BazarLoader để có được chỗ đứng trong việc triển khai phần mềm độc hại mã hóa tệp.

Xem tiếp:   Ukraine tiếp tục đối mặt với các cuộc tấn công gián điệp mạng từ tin tặc Nga

“Vào cuối năm 2021, Conti về cơ bản đã mua lại TrickBot, với nhiều nhà phát triển và quản lý ưu tú tham gia vào ransomware cosa nostra”, Yelisey Boguslavskiy của AdvIntel cho biết trong một báo cáo được công bố vào giữa tháng Hai.

Chưa đầy 10 ngày sau, các diễn viên của TrickBot đã đóng cửa cơ sở hạ tầng mạng botnet của họ sau một thời gian gián đoạn bất thường kéo dài hai tháng trong các chiến dịch phân phối phần mềm độc hại, đánh dấu một trục xoay có khả năng chuyển hướng nỗ lực của họ sang các họ phần mềm độc hại lén lút hơn như BazarBackdoor.

Giữa tất cả những sự phát triển này, cửa hậu AnchorDNS đã nhận được một bản nâng cấp của riêng nó. Trong khi phiên bản tiền nhiệm giao tiếp với các máy chủ C2 của nó bằng cách sử dụng DNS tunneling – một kỹ thuật liên quan đến việc lạm dụng giao thức DNS để đánh lén lưu lượng độc hại vượt qua sự phòng thủ của tổ chức – thì phiên bản dựa trên C ++ mới hơn sử dụng các thông điệp email được chế tạo đặc biệt.

“AnchorMail sử dụng giao thức SMTPS được mã hóa để gửi dữ liệu đến C2 và IMAPS được sử dụng để nhận dữ liệu”, Hammond lưu ý, thêm phần mềm độc hại này thiết lập tính bền bỉ bằng cách tạo một tác vụ theo lịch trình được thiết lập để chạy 10 phút một lần, theo sau nó bằng cách liên hệ với Máy chủ C2 để tìm nạp và thực thi bất kỳ lệnh nào được chạy.

Xem tiếp:   Tin tặc APT C-23 sử dụng biến thể phần mềm gián điệp Android mới để nhắm mục tiêu người dùng Trung Đông

Các lệnh bao gồm khả năng thực thi các tệp nhị phân, DLL và shellcode được truy xuất từ ​​máy chủ từ xa, khởi chạy các lệnh PowerShell và xóa chính nó khỏi hệ thống bị nhiễm.

Hammond cho biết: “Việc phát hiện ra biến thể Anchor mới này bổ sung một cửa sau tàng hình mới để sử dụng trong các cuộc tấn công ransomware và nêu bật cam kết của nhóm trong việc nâng cấp phần mềm độc hại của mình”. “[AnchorMail] cho đến nay chỉ được quan sát thấy nhắm mục tiêu vào các hệ thống Windows. Tuy nhiên, vì AnchorDNS đã được chuyển sang Linux, nên có vẻ như một biến thể Linux của AnchorMail cũng có thể xuất hiện. “

.

Related Posts

Check Also

Tin tặc ngày càng sử dụng các khung tự động hóa của trình duyệt cho các hoạt động độc hại

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một …