Η περίφημη ομάδα κυβερνοεπιθέσεων TrickBot έχει αναπτύξει ένα νέο backdoor για να παρακολουθεί τα συστήματα των θυμάτων της μετά από μια επίθεση exploit.
Ο τελικός στόχος του εργαλείου μετά την επίθεση είναι να “παρακάμψουν τους περιορισμούς και τους ελέγχους ασφαλείας ώστε να προσαρμοστούν στη νέα εποχή του cybersecurity και να εκμεταλλευτούν τα πιο προστατευμένα και ασφαλή δίκτυα υψηλής αξίας”, ανέφεραν οι ερευνητές του SentinelLabs.
Οι διαδικτυακές επιθέσεις του TrickBot ειδικεύονται στην κλοπή τραπεζικών διαπιστευτηρίων παγκοσμίως, συχνά από επιχειρήσεις. Τα trojans που συνδέονται με την ομάδα βρίσκονται σε συνεχή εξέλιξη, με νέα modules και εργαλεία ώστε να παραμείνουν ένα βήμα μπροστά από τις ομάδες κυβερνοασφάλειας με στόχο να εξάγουν και να διατηρούν δεδομένα.
Στο δεύτερο μισό του περασμένου έτους, οι ερευνητές προειδοποίησαν ότι παράλληλα με τα trojans, τα backdoors και τις εφαρμογές web injection, οι προγραμματιστές επέκτειναν το οπλοστάσιό τους με εργαλεία σχεδιασμένα για επιθέσεις SIM. Το malware TrickBot έχει επίσης συνδεθεί με κλοπές που βασίζονται σε κρυπτογράφηση.
Το νέο εργαλείο πιθανότατα ξεκίνησε μέσω του Windows PowerShell, λένε οι ερευνητές. Ένα module του TrickBot που ονομάζεται “NewBCtest” έχει τροποποιηθεί για να δέχεται εντολές για εκτέλεση, συμπεριλαμβανομένης της δημιουργίας ενός μεγαλύτερου backdoor κατά την διάρκεια της επίθεσης.
Το SentinelLabs λέει ότι η μέθοδος που χρησιμοποιείται είναι παρόμοια με την μέθοδο PowerShell ανοιχτού κώδικα με την ονομασία Empire, αλλά για να παραμείνει κρυμμένη, η TrickBot επέλεξε να σχεδιάσει το PowerTrick για να είναι “ευέλικτο” και για να επιτρέπει την αύξηση της επιθέσης του “εν κινήσει”.
Διεξάγονται έλεγχοι για την καταγραφή του μολυσμένου συστήματος και οι πληροφορίες επιστρέφονται μαζί με ένα μοναδικό αναγνωριστικό χρήστη, το οποίο αποστέλλεται μέσω του backdoor σε ένα διακομιστή εντολών και ελέγχου που ελέγχεται από τους εισβολείς.
Το PowerTrick αξιοποιεί επίσης το framework Metasploit και διάφορα βοηθητικά προγράμματα PowerShell για να πλοηγηθεί σε δικτυωμένους δίσκους και συστήματα, ώστε να αναπτύξει πρόσθετο κακόβουλο λογισμικό.
“Καταργούν τα υπάρχοντα αρχεία που δεν εκτελέστηκαν σωστά και προχωρούν σε διαφορετικό στόχο της επιλογής τους ή εκτελούν πλευρική κίνηση στο περιβάλλον σε συστήματα υψηλής αξίας όπως τα χρηματοοικονομικά σημεία συναλλαγών”, λέει η ομάδα.
Το δεύτερο σενάριο αφορά τις επιχειρήσεις. Όπως έχουμε δει με το πρόσφατο περιστατικό του Travelex, το κακόβουλο λογισμικό μπορεί να εξαπλωθεί και να κρυπτογραφήσει – ή να κλέψει – τα δεδομένα σε ένα δικτυωμένο περιβάλλον και μπορεί να αποδειχθεί καταστροφικό.
Η TrickBot έχει επίσης συνδεθεί πρόσφατα με το “Anchor”, ένα σύνολο εργαλείων που φαίνεται να παρέχει μια σύνδεση μεταξύ των χειριστών και των ομάδων hacking της Βόρειας Κορέας.
