Der blev gjort en fælles indsats for at lukke den ondsindede infrastruktur, der blev brugt til at starte TrickBot-malwareangreb, men selvom dette forsøg var vellykket, opdagede nylige fund, at Linux-versionerne fortsætter med at angribe værter. Linux-varianten har vist sig at være aktiv i flere kampagner, der fortsætter med virusets intentioner. TrickBot anses bredt for at være en af de farligste malware i de sidste par år.
TrickBot Linux-version fortsætter med at angribe netværk
Selvom vigtigste TrickBot kriminelle infrastruktur blev deaktiveret af et kollektiv af sikkerhedseksperter i nyere tid, cybersikkerhedsfirmaet Netscout rapporterer, at indsatsen er flyttet til Linux-versionen af malware. Det betyder, at hovedudviklingsgruppen har overført deres indsats til en anden gruppe maskiner, der er sat som det nye mål. Denne særlige malware startede sin infektion i 2016 ved hovedsageligt at målrette mod Windows-baserede computere. I årenes løb er flere forskellige hackinggrupper blevet brugt til at ændre kodebasen og tilføje forskellige moduler. Dette har fået forskellige sikkerhedsfirmaer og forskere til at skabe proaktivt forsvar mod de igangværende indbrud.
I løbet af de sidste par uger, en fælles gruppe mellem US Cyber Command og Microsoft var i stand til at eliminere en stor del af de hackerstyrede servere. Dette udryddede næsten truslen og afhjælpede mange igangværende angreb, der blev stoppet. Men, dette stoppede ikke infektionerne helt. En forskningsgruppe fra et firma, der hedder Netscout rapporterede, at nye fund omkring Trickbots genopblussen i sin Linux-variant. Tilsyneladende, hacking-grupper har overført deres bestræbelser på at udvikle denne del af malware i stedet for Windows.
Dette fremgår af en nylig kaldet udvikling Anker som blev oprettet i slutningen af 2019 som er kategoriseret som en bagdørramme baseret på TrickBot. Et af de særskilte træk ved det er, at det er afhængigt af DNS-protokollen for at kommunikere med de hacker-udpegede servere på en måde, der er svær at spore. Dette gør virussøgning meget vanskelig. Ved hjælp af denne nye ramme vil de fremstillede infektioner muliggøre større misbrug, da de igangværende angreb er svære at opdage og afbøde.
I den seneste opdatering af Anchor codebase er flyttet til Linux hvilket viser, at hackernes intentioner er at fokusere på denne platform. De fangede prøver viser, at en ny infektionssekvens implementeres:
- Indledende Infektion — Gennem brug af forskellige malware-distributionstaktikker vil Anchor TrickBot-rammen blive implementeret til målværten. Når dette er gjort, startes den relevante udførelseskode.
- Vedvarende installation — Ved at indsætte sig selv som et cron-job installeres virussen som en systemkomponent. Afhængigt af konfigurationen kan dette muligvis omgå visse sikkerhedsfunktioner, start automatisk, når computeren er tændt, og kan ændre vigtige konfigurationsværdier.
- Information Gathering — Kodeanalysen viser, at motoren afslører den inficerede computers IP-adresse og videresender den til hackerne. En ændring i dette afsnit af malware-konfigurationen kan omfatte andre data, der skal kapres: personlige brugers filer, Applikationsdata, og operativsystemværdier.
- Server Connection — Den sidste fase er den faktiske forbindelse til den hackerstyrede server. Dette giver hackerne mulighed for helt at overtage maskinerne, udspionere ofrene, og få adgang til deres data.
Forskning i hackingskampagnen fortsætter. Vi håber, at disse infektioner snart også kan stoppes effektivt.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: