Sicherheitsforscher von Cybereason werfen ein neues Licht auf die Funktionsweise von TrickBot.
TrickBot- und Shathak-Bedrohungsgruppen schließen sich zusammen
Nach neuesten Erkenntnissen, die Bedrohungsakteure hinter dem TrickBot-Trojaner, bekannt als Zauberspinne, arbeiten derzeit mit dem TA551 zusammen (Shathak) Bedrohungsgruppe zur Verbreitung von TrickBot- und BazarBackdoor-Malware, die dann verwendet werden, um Conti-Ransomware auf kompromittierten Systemen einzusetzen. Die Bedrohungsakteure nutzen seit März die Malware-Loader für den Einsatz von Conti 2021.
Cybereason warnt Organisationen vor bösartigem Spam, der von Shathak-Bedrohungsakteuren verbreitet wird, in Form von passwortgeschützten Archivdateien an Phishing-E-Mails. Die Dateien enthalten bösartige Dokumente mit Makros, die entweder TrickBot oder BazarBackdoor herunterladen und ausführen. Die Bedrohungsakteure führen andere Aktivitäten durch, inklusive Aufklärung, Identitätsdiebstahl, und Datenexfiltration, bevor Sie die bösartigen Operationen starten.
“Das Makro löscht eine Microsoft Hypertext Markup Language (HTML) Anwendungen (HTA) Datei auf dem Dateisystem und führt die Datei dann mit dem Windows-Dienstprogramm mshta.exe aus. Böswillige Akteure verwenden mshta.exe, um bösartige HTA-Dateien auszuführen und Anwendungskontrolllösungen zu umgehen, die die böswillige Verwendung des Windows-Dienstprogramms nicht berücksichtigen,” so der Bericht.
Die letzte Nutzlast des bösartigen Vorgangs ist die Conti-Ransomware. Frühere ähnliche Kampagnen wurden verwendet, um Ryuk . zu liefern.
Es ist bemerkenswert, dass neuere Versionen von TrickBot Funktionen zum Laden von Malware enthalten. TrickBot ist seit langem dafür bekannt, verschiedene Angriffskampagnen verschiedener Bedrohungsgruppen zu unterstützen. Sowohl gewöhnliche Kriminelle als auch nationalstaatliche Akteure haben die Hintertür genutzt.
„TrickBot hat in vielen Angriffskampagnen, die von verschiedenen Bedrohungsakteuren durchgeführt wurden, eine wichtige Rolle gespielt, von gewöhnlichen Cyberkriminellen zu nationalstaatlichen Akteuren. Diese Kampagnen beinhalteten oft den Einsatz von Ransomware wie der Ryuk-Ransomware," der Bericht bekannt.
Conti ist ein hochrangiger russischsprachiger Ransomware-Bedrohungsakteur, der sich auf doppelte Erpressungsoperationen spezialisiert hat, bei denen Datenverschlüsselung und Datenexfiltration gleichzeitig erfolgen. Eines der neuesten Updates der Ransomware beinhaltete die Möglichkeit, Datensicherungen zu zerstören. https://sensortechforum.com/conti-ransomware-destroying-data-backups/
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: