M\u00eame si l’infrastructure TrickBot a ferm\u00e9 ses portes, les op\u00e9rateurs du logiciel malveillant continuent d’affiner et de r\u00e9organiser leur arsenal pour mener des attaques qui ont abouti au d\u00e9ploiement du ran\u00e7ongiciel Conti.<\/p>\n
IBM Security X-Force, qui a d\u00e9couvert la version remani\u00e9e du gang criminel AnchorDNS<\/a> porte d\u00e9rob\u00e9e, surnomm\u00e9e la nouvelle variante am\u00e9lior\u00e9e AnchorMail.<\/p>\n AnchorMail “utilise un e-mail [command-and-control] serveur avec lequel il communique \u00e0 l’aide des protocoles SMTP et IMAP sur TLS”, l’ing\u00e9nieure inverse des logiciels malveillants d’IBM, Charlotte Hammond, mentionn\u00e9<\/a>. “\u00c0 l’exception du m\u00e9canisme de communication C2 r\u00e9vis\u00e9, le comportement d’AnchorMail s’aligne tr\u00e8s \u00e9troitement sur celui de son pr\u00e9d\u00e9cesseur AnchorDNS.”<\/p>\n L’acteur de la cybercriminalit\u00e9 derri\u00e8re TrickBot, ITG23 alias Wizard Spider, est \u00e9galement connu pour son d\u00e9veloppement du framework de logiciels malveillants Anchor, une porte d\u00e9rob\u00e9e r\u00e9serv\u00e9e au ciblage de victimes s\u00e9lectionn\u00e9es de grande valeur depuis au moins 2018 via TrickBot et BazarBackdoor (alias BazarLoader), un implant suppl\u00e9mentaire con\u00e7u par le m\u00eame groupe.<\/p>\n Au fil des ans, le groupe a \u00e9galement b\u00e9n\u00e9fici\u00e9 d’une relation symbiotique avec le cartel des ransomwares Conti, ce dernier tirant parti des charges utiles TrickBot et BazarLoader pour prendre pied dans le d\u00e9ploiement du malware de cryptage de fichiers.<\/p>\n “\u00c0 la fin de 2021, Conti avait essentiellement acquis TrickBot, avec plusieurs d\u00e9veloppeurs et gestionnaires d’\u00e9lite rejoignant le ransomware cosa nostra”, a d\u00e9clar\u00e9 Yelisey Boguslavskiy d’AdvIntel. c’est not\u00e9<\/a> dans un rapport publi\u00e9 mi-f\u00e9vrier.<\/p>\n Moins de 10 jours plus tard, les acteurs de TrickBot ont ferm\u00e9 leur infrastructure de botnet apr\u00e8s une interruption inhabituelle de deux mois dans les campagnes de distribution de logiciels malveillants, marquant un pivot qui est susceptible de canaliser leurs efforts sur des familles de logiciels malveillants plus furtifs tels que BazarBackdoor.<\/p>\n Au milieu de tous ces d\u00e9veloppements, la porte d\u00e9rob\u00e9e AnchorDNS a fait peau neuve. Alors que le pr\u00e9d\u00e9cesseur communique avec ses serveurs C2 en utilisant Tunnellisation DNS<\/a> \u2013 une technique qui implique l’utilisation abusive du protocole DNS pour infiltrer le trafic malveillant au-del\u00e0 des d\u00e9fenses d’une organisation \u2013 la nouvelle version bas\u00e9e sur C++ utilise des messages \u00e9lectroniques sp\u00e9cialement con\u00e7us.<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Alertes-CISA-sur-les-failles-activement-exploitees-dans-la-plate-forme.png\")
<\/a><\/div>\n
![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701002_140_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n