network

Ekspanderende Trickbot malware

Operatørerne bag den skadelige TrickBot malware er dukket op igen med nye tricks, der har til formål at øge fodfæste ved at udvide deres distributionskanaler og i sidste ende fører til indsættelse af ransomware såsom Conti.

“Disse leverandører af cyberkriminalitet inficerer virksomhedernes netværk med malware ved at kapre e-mail tråde, ved hjælp af falske kunderesponsformularer og social engineering-medarbejdere med en falsk call center kendt som BazarCall.

Siden den kom frem i trusselslandskabet i 2016, har TrickBot udviklet sig fra en trojansk hest rettet mod bankre til en modulær Windows-baseret crimeware-løsning, samtidig med at, den skiller sig ud med sin modstandsdygtighed og i øvrigt demonstrerer evnen til at opretholde og opdatere sit værktøjssæt og infrastruktur på trods af flere bestræbelser fra retshåndhævende myndigheder og industrigrupper for at tage det ned. Udover TrickBot er Wizard Spider-gruppen blevet krediteret med udviklingen af BazarLoader og en bagdør kaldet Anchor.

Angreb udført tidligere i år gennem e-mail-kampagner levere Excel-dokumenter og et call center kneb døbt “BazaCall” for at levere malware til virksomhedernes brugere. Den seneste indtrængen begynder omkring juni 2021 har været præget af et partnerskab med to cyberkriminalitet affiliates for at øge sin distribution infrastruktur ved at udnytte kaprede e-mail tråde og svigagtig hjemmeside kundeundersøgelse formulare på organisationens hjemmesider til at implementere Cobalt Strike.

Dette skridt ikke kun øget mængden af sine leveringsforsøg, men også diversificeret leveringsmetoder med det mål at inficere flere potentielle ofre end nogensinde.

I en infektionskæde observeret af IBM i slutningen af august 2021 siges Hive0107-affilieret cyberbande at have vedtaget en ny taktik, der involverer at sende e-mails til mål for virksomheder, der informerer om, at deres websteder har udført distributed denial-of-service (DDoS) angreb på sine servere og opfordrer modtagerne til at klikke på et link for yderligere beviser. Når der klikkes, downloader linket et ZIP arkiv, der indeholder et ondsindet JavaScript (JS), der igen kontakter en ekstern URL til at hente BazarLoader malware til at droppe Cobalt Strike og TrickBot.

ITG23, en anden hackergruppe, har også tilpasset sig ransomware økonomi gennem oprettelsen af Conti ransomware-as-a-service (RaaS) og brugen af sin BazarLoader og Trickbot nyttelast for at få fodfæste for inden for ransomware angreb. Den seneste udvikling viser styrken af sine forbindelser inden for det cyberkriminelle økosystem og dets evne til at udnytte disse relationer til at udvide antallet af organisationer, der er inficeret med sin malware.

Kilde: The Hacker News