Sikkerhedsforskere fra Cybereason kaster nyt lys over TrickBots virkemåde.
TrickBot og Shathak Threat Groups går sammen
Ifølge de seneste fund, trusselsaktørerne bag TrickBot-trojaneren, kendt som Wizard Spider, arbejder i øjeblikket sammen med TA551 (Shathak) trusselgruppe til at distribuere TrickBot og BazarBackdoor malware, som derefter bruges til at implementere Conti ransomware på kompromitterede systemer. Trusselsaktørerne har brugt malware-indlæserne til at implementere Conti siden marts 2021.
Cybereason advarer organisationer om ondsindet spam distribueret af Shathak-trusselsaktører, i form af adgangskodebeskyttede arkivfiler vedhæftet phishing-mails. Filerne indeholder ondsindede dokumenter fyldt med makroer, der downloader og udfører enten TrickBot eller BazarBackdoor. Trusselsaktørerne udfører andre aktiviteter, herunder rekognoscering, legitimationstyveri, og dataeksfiltrering, før de ondsindede operationer igangsættes.
“Makroen slipper et Microsoft Hypertext Markup Language (HTML) Applikationer (MTV) fil på filsystemet og udfører derefter filen ved hjælp af mshta.exe Windows-værktøjet. Ondsindede aktører bruger mshta.exe til at udføre ondsindede HTA-filer og omgå applikationskontrolløsninger, der ikke tager højde for den ondsindede brug af Windows-værktøjet,” hedder det i rapporten.
Den endelige nyttelast af den ondsindede drift er Conti ransomware. Tidligere lignende kampagner er blevet brugt til at levere Ryuk.
Det er bemærkelsesværdigt, at nyere versioner af TrickBot inkluderer malware-indlæsningsfunktioner. TrickBot har længe været kendt for at støtte forskellige angrebskampagner udført af forskellige trusselsgrupper. Både almindelige kriminelle og nationalstatslige aktører har brugt bagdøren.
“TrickBot har spillet en stor rolle i mange angrebskampagner udført af forskellige trusselsaktører, fra almindelige cyberkriminelle til nationalstatsaktører. Disse kampagner har ofte involveret udrulning af ransomware såsom Ryuk ransomware," rapporten bemærkes.
Conti er en russisk-talende trusselaktør på højt niveau med speciale i dobbelt afpresning, hvor datakryptering og dataeksfiltration sker samtidigt. En af de seneste opdateringer af ransomware omfattede evnen til at ødelægge datasikkerhedskopier. https://sensorstechforum.com/conti-ransomware-destroying-data-backups/
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: