Un effort conjoint a été fait pour arrêter l'infrastructure malveillante utilisée pour lancer les attaques de logiciels malveillants TrickBot, cependant, même si cette tentative a réussi, des découvertes récentes ont découvert que les versions Linux continuent d'attaquer les hôtes. La variante Linux s'est avérée active dans plusieurs campagnes poursuivant les intentions du virus. TrickBot est largement considéré comme l'un des logiciels malveillants les plus dangereux de ces dernières années.
La version Linux de TrickBot continue d'attaquer les réseaux
Même si le infrastructure criminelle principale de TrickBot a été désactivé par un collectif d'experts en sécurité ces derniers temps, la société de cybersécurité Netscout signale que les efforts ont été déplacés vers la version Linux du malware. Cela signifie que le groupe de développement principal a transféré ses efforts dans un autre groupe de machines qui est défini comme nouvel objectif. Ce malware particulier a commencé son infection en 2016 en ciblant principalement les ordinateurs Windows. Au fil des ans, plusieurs groupes de piratage ont été utilisés pour modifier la base de code et ajouter différents modules. Cela a incité diverses sociétés de sécurité et chercheurs à créer des défenses proactives contre les intrusions en cours..
Au cours des dernières semaines, un groupe conjoint entre l'US Cyber Command et Microsoft a pu éliminer une grande partie des serveurs contrôlés par les pirates. Cela a presque éradiqué la menace et corrigé de nombreuses attaques en cours qui ont été arrêtées. Cependant, cela n'a pas complètement arrêté les infections. Un groupe de recherche d'une société appelée Netscout a signalé que de nouvelles découvertes concernant la résurgence de Trickbot dans sa variante Linux. Apparemment, les groupes de piratage ont transféré leurs efforts dans le développement de cette partie du malware au lieu de celle de Windows.
Cela est évident dans un développement récent appelé Ancre qui a été créé à la fin de 2019 qui est classé comme un cadre de porte dérobée basé sur TrickBot. L'une de ses caractéristiques distinctes est qu'il s'appuie sur le protocole DNS pour communiquer avec les serveurs désignés par les pirates d'une manière difficile à suivre.. Cela rend la détection de virus très difficile. En utilisant ce nouveau cadre, les infections effectuées permettront de plus grands abus car les attaques en cours sont difficiles à détecter et à atténuer..
Dans la dernière mise à jour d'Anchor, le la base de code a été déplacée vers Linux ce qui montre que les intentions des hackers sont de se concentrer sur cette plateforme. Les échantillons capturés montrent qu'un nouveau la séquence d'infection est implémentée:
- infection initiale — Grâce à l'utilisation de différentes tactiques de distribution de logiciels malveillants, le framework Anchor TrickBot sera déployé sur l'hôte cible. Lorsque cela est fait, le code d'exécution correspondant sera lancé.
- Installation persistante — En s’insérant en tant que tâche cron, le virus sera installé en tant que composant système. Selon la configuration, cela peut contourner certaines fonctionnalités de sécurité, démarrer automatiquement lorsque l'ordinateur est allumé, et peut changer des valeurs de configuration importantes.
- La collecte d'informations — L'analyse du code montre que le moteur révélera l'adresse IP publique des ordinateurs infectés et la transmettra aux pirates.. Un changement dans cette section de la configuration du malware peut inclure d'autres données qui doivent être détournées: fichiers personnels de l'utilisateur, Application Data, et valeurs du système d'exploitation.
- Connexion au serveur — La phase finale est la connexion réelle au serveur contrôlé par le pirate informatique. Cela permet aux pirates de prendre complètement en charge les machines, espionner les victimes, et accéder à leurs données.
Les recherches sur la campagne de piratage se poursuivent. Nous espérons que bientôt ces infections pourront également être arrêtées efficacement.