Incluso cuando la infraestructura de TrickBot cerró, los operadores del malware continúan refinando y reestructurando su arsenal para llevar a cabo ataques que culminaron en la implementación del ransomware Conti.
IBM Security X-Force, que descubrió la versión renovada de la banda criminal AnchorDNS puerta trasera, apodada la nueva variante mejorada AnchorMail.
AnchorMail “utiliza un correo electrónico [command-and-control] servidor con el que se comunica usando los protocolos SMTP e IMAP sobre TLS”, la ingeniera inversa de malware de IBM, Charlotte Hammond, dijo. “Con la excepción del mecanismo de comunicación C2 revisado, el comportamiento de AnchorMail se alinea mucho con el de su predecesor AnchorDNS”.
El actor de ciberdelincuencia detrás de TrickBot, ITG23, también conocido como Wizard Spider, también es conocido por su desarrollo del marco de malware Anchor, una puerta trasera reservada para apuntar a víctimas seleccionadas de alto valor desde al menos 2018 a través de TrickBot y BazarBackdoor (también conocido como BazarLoader), un implante adicional diseñado por el mismo grupo
A lo largo de los años, el grupo también se ha beneficiado de una relación simbiótica con el cártel de ransomware Conti, y este último aprovecha las cargas útiles de TrickBot y BazarLoader para afianzarse en la implementación del malware de cifrado de archivos.
“Para fines de 2021, Conti había adquirido esencialmente TrickBot, con múltiples desarrolladores y gerentes de élite que se unieron a la cosa nostra del ransomware”, Yelisey Boguslavskiy de AdvIntel. señalado en un informe publicado a mediados de febrero.
Menos de 10 días después, los actores de TrickBot cerraron su infraestructura de botnet después de una pausa inusual de dos meses en las campañas de distribución de malware, marcando un giro que probablemente canalice sus esfuerzos en familias de malware más sigilosas como BazarBackdoor.
En medio de todos estos desarrollos, la puerta trasera de AnchorDNS ha recibido un lavado de cara propio. Mientras que el predecesor se comunica con sus servidores C2 usando tunelización de DNS – una técnica que involucra el abuso del protocolo DNS para colar tráfico malicioso más allá de las defensas de una organización – la versión más nueva basada en C++ utiliza mensajes de correo electrónico especialmente diseñados.
“AnchorMail usa el protocolo SMTPS encriptado para enviar datos al C2 e IMAPS se usa para recibirlos”, señaló Hammond, y agregó que el malware establece persistencia al crear una tarea programada que está configurada para ejecutarse cada 10 minutos. Servidor C2 para buscar y ejecutar cualquier comando que se ejecute.
Los comandos incluyen la capacidad de ejecutar archivos binarios, DLL y shellcode recuperados del servidor remoto, iniciar comandos de PowerShell y eliminarse de los sistemas infectados.
“El descubrimiento de esta nueva variante de Anchor agrega una nueva puerta trasera sigilosa para usar durante los ataques de ransomware y destaca el compromiso del grupo para actualizar su malware”, dijo Hammond. “[AnchorMail] hasta ahora solo se ha observado dirigido a sistemas Windows. Sin embargo, dado que AnchorDNS se ha portado a Linux, parece probable que también surja una variante Linux de AnchorMail”.
About the Author
