Zuhause > Cyber ​​Aktuelles > Der TrickBot Linux-Trojaner greift weiterhin Netzwerke an
CYBER NEWS

Der TrickBot Linux-Trojaner greift weiterhin Netzwerke an

Es wurden gemeinsame Anstrengungen unternommen, um die schädliche Infrastruktur herunterzufahren, mit der TrickBot-Malware-Angriffe gestartet wurden, Obwohl dieser Versuch erfolgreich war, stellten jüngste Erkenntnisse fest, dass die Linux-Versionen weiterhin Hosts angreifen. Es wurde festgestellt, dass die Linux-Variante in mehreren Kampagnen aktiv ist, die die Absichten des Virus fortsetzen. TrickBot gilt allgemein als eine der gefährlichsten Malware der letzten Jahre.




Die TrickBot Linux-Version greift weiterhin Netzwerke an

Obwohl die kriminelle Hauptinfrastruktur von TrickBot wurde in jüngster Zeit von einem Kollektiv von Sicherheitsexperten deaktiviert, das Cybersecurity-Unternehmen Netscout berichtet, dass die Bemühungen auf die Linux-Version der Malware verlagert wurden. Dies bedeutet, dass die Hauptentwicklungsgruppe ihre Bemühungen auf eine andere Gruppe von Maschinen übertragen hat, die als neues Ziel festgelegt wurden. Diese spezielle Malware begann ihre Infektion in 2016 durch die Ausrichtung auf hauptsächlich Windows-basierte Computer. Im Laufe der Jahre wurden verschiedene Hacking-Gruppen verwendet, um die Codebasis zu ändern und verschiedene Module hinzuzufügen. Dies hat verschiedene Sicherheitsunternehmen und Forscher dazu veranlasst, proaktive Abwehrmaßnahmen gegen die anhaltenden Eingriffe zu ergreifen.

Im Laufe der letzten Wochen, Eine gemeinsame Gruppe zwischen dem US Cyber ​​Command und Microsoft konnte einen großen Teil der von Hackern kontrollierten Server eliminieren. Dies beseitigte fast die Bedrohung und beseitigte viele laufende Angriffe, die gestoppt wurden. Jedoch, Dies hat die Infektionen nicht vollständig gestoppt. Eine Forschungsgruppe aus einem Unternehmen namens Netscout berichteten, dass neue Erkenntnisse über Trickbots Wiederaufleben in seiner Linux-Variante vorliegen. Offenbar, Hacking-Gruppen haben ihre Bemühungen darauf konzentriert, diesen Teil der Malware anstelle des Windows-Teils zu entwickeln.

Dies zeigt sich in einer jüngsten Entwicklung namens Anker welches am Ende von erstellt wurde 2019 Dies ist ein Backdoor-Framework, das auf TrickBot basiert. Eines der besonderen Merkmale ist, dass es sich auf das DNS-Protokoll stützt, um mit den von Hackern bestimmten Servern auf eine Weise zu kommunizieren, die schwer zu verfolgen ist. Dies macht die Viruserkennung sehr schwierig. Unter Verwendung dieses neuen Frameworks ermöglichen die verursachten Infektionen einen größeren Missbrauch, da die laufenden Angriffe schwer zu erkennen und zu mildern sind.

Im neuesten Update von Anchor the Die Codebasis wurde auf Linux verschoben Dies zeigt, dass die Hacker beabsichtigen, sich auf diese Plattform zu konzentrieren. Die aufgenommenen Proben zeigen, dass eine neue Infektionssequenz ist implementiert:

  • Erstinfektion — Durch die Verwendung verschiedener Malware-Verteilungstaktiken wird das Anchor TrickBot-Framework auf dem Zielhost bereitgestellt. Anschließend wird der entsprechende Ausführungscode gestartet.
  • persistent Installations — Durch das Einfügen als Cron-Job wird der Virus als Systemkomponente installiert. Abhängig von der Konfiguration werden möglicherweise bestimmte Sicherheitsfunktionen umgangen, Starten Sie automatisch, wenn der Computer eingeschaltet wird, und kann wichtige Konfigurationswerte ändern.
  • Informationsbeschaffung — Die Codeanalyse zeigt, dass die Engine die öffentliche IP-Adresse der infizierten Computer anzeigt und an die Hacker weiterleitet. Eine Änderung in diesem Abschnitt der Malware-Konfiguration kann andere Daten enthalten, die entführt werden sollen: Dateien persönlicher Benutzer, Anwendungsdaten, und Betriebssystemwerte.
  • Server-Verbindung — Die letzte Phase ist die eigentliche Verbindung zum hackergesteuerten Server. Dadurch können die Hacker die Maschinen vollständig übernehmen, Spion auf die Opfer, und auf ihre Daten zugreifen.

Die Forschung zur Hacking-Kampagne geht weiter. Wir hoffen, dass diese Infektionen bald auch effektiv gestoppt werden können.

Martin Beltov

Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau