TrickBot altyapısı mağazayı kapatırken bile, kötü amaçlı yazılımın operatörleri, Conti fidye yazılımının yayılmasıyla sonuçlanan saldırıları gerçekleştirmek için cephanelerini iyileştirmeye ve yeniden düzenlemeye devam ediyor.
Suç çetesinin yenilenmiş versiyonunu keşfeden IBM Security X-Force AnchorDNS yeni, yükseltilmiş varyant AnchorMail olarak adlandırılan arka kapı.
AnchorMail “e-posta tabanlı bir [command-and-control] TLS üzerinden SMTP ve IMAP protokollerini kullanarak iletişim kurduğu sunucu,” IBM’in kötü amaçlı yazılım ters mühendisi Charlotte Hammond, dedim. “Yenilenmiş C2 iletişim mekanizması dışında, AnchorMail’in davranışı, AnchorDNS öncülüne çok yakın bir şekilde hizalanıyor.”
TrickBot’un arkasındaki siber suç aktörü, yani Sihirbaz Örümcek ITG23, en az 2018’den beri TrickBot ve BazarBackdoor (diğer adıyla BazarLoader) aracılığıyla seçilmiş yüksek değerli kurbanları hedeflemek için ayrılmış bir arka kapı olan Anchor kötü amaçlı yazılım çerçevesini geliştirmesiyle de tanınır. aynı grup.
Yıllar içinde grup, Conti fidye yazılımı karteli ile ortak yaşam ilişkisinden de yararlandı; ikincisi, dosya şifreleyen kötü amaçlı yazılımı dağıtmak için bir dayanak elde etmek için TrickBot ve BazarLoader yüklerinden yararlandı.
AdvIntel’den Yelisey Boguslavskiy, “2021’in sonunda Conti, çok sayıda seçkin geliştirici ve yöneticinin fidye yazılımı cosa nostra’ya katılmasıyla birlikte TrickBot’u esasen satın almıştı.” not alınmış Şubat ortasında yayınlanan bir raporda.
10 günden kısa bir süre sonra, TrickBot aktörleri, kötü amaçlı yazılım dağıtım kampanyalarında iki aylık olağandışı bir aradan sonra botnet altyapılarını kapattı ve çabalarını BazarBackdoor gibi daha gizli kötü amaçlı yazılım ailelerine yönlendirecek bir dönüm noktası oldu.
Tüm bu gelişmelerin ortasında, AnchorDNS arka kapısı kendi başına bir makyaj aldı. Selef, C2 sunucularıyla iletişim kurarken DNS tünelleme – bir organizasyonun savunmasını geçen kötü niyetli trafiği gizlice geçirmek için DNS protokolünün kötüye kullanılmasını içeren bir teknik – daha yeni C++ tabanlı sürüm, özel hazırlanmış e-posta mesajlarını kullanır.
Hammond, “AnchorMail, C2’ye veri göndermek için şifreli SMTPS protokolünü kullanıyor ve bunu almak için IMAPS kullanılıyor” diyen Hammond, kötü amaçlı yazılımın, her 10 dakikada bir çalışacak şekilde ayarlanmış bir zamanlanmış görev oluşturarak kalıcılık sağladığını ve ardından Çalıştırılacak tüm komutları almak ve yürütmek için C2 sunucusu.
Komutlar, uzak sunucudan alınan ikili dosyaları, DLL’leri ve kabuk kodunu yürütme, PowerShell komutlarını başlatma ve kendini virüslü sistemlerden silme yeteneğini içerir.
Hammond, “Bu yeni Anchor varyantının keşfi, fidye yazılımı saldırıları sırasında kullanım için yeni bir gizli arka kapı ekler ve grubun kötü amaçlı yazılımını yükseltme konusundaki kararlılığını vurgular.” Dedi. “[AnchorMail] şimdiye kadar yalnızca Windows sistemlerini hedef aldığı gözlemlendi. Ancak, AnchorDNS Linux’a taşındığından, AnchorMail’in bir Linux varyantının da ortaya çıkması muhtemel görünüyor.”
