Accueil > Nouvelles Cyber > TrickBot Linux Trojan continue d'attaquer les réseaux
CYBER NOUVELLES

TrickBot Linux Trojan continue d'attaquer les réseaux

par   |  Last Update:  |  0 Commentaires  

Un effort conjoint a été fait pour arrêter l'infrastructure malveillante utilisée pour lancer les attaques de logiciels malveillants TrickBot, cependant, même si cette tentative a réussi, des découvertes récentes ont découvert que les versions Linux continuent d'attaquer les hôtes. La variante Linux s'est avérée active dans plusieurs campagnes poursuivant les intentions du virus. TrickBot est largement considéré comme l'un des logiciels malveillants les plus dangereux de ces dernières années.




La version Linux de TrickBot continue d'attaquer les réseaux

Même si le infrastructure criminelle principale de TrickBot a été désactivé par un collectif d'experts en sécurité ces derniers temps, la société de cybersécurité Netscout signale que les efforts ont été déplacés vers la version Linux du malware. Cela signifie que le groupe de développement principal a transféré ses efforts dans un autre groupe de machines qui est défini comme nouvel objectif. Ce malware particulier a commencé son infection en 2016 en ciblant principalement les ordinateurs Windows. Au fil des ans, plusieurs groupes de piratage ont été utilisés pour modifier la base de code et ajouter différents modules. Cela a incité diverses sociétés de sécurité et chercheurs à créer des défenses proactives contre les intrusions en cours..

Au cours des dernières semaines, un groupe conjoint entre l'US Cyber ​​Command et Microsoft a pu éliminer une grande partie des serveurs contrôlés par les pirates. Cela a presque éradiqué la menace et corrigé de nombreuses attaques en cours qui ont été arrêtées. Cependant, cela n'a pas complètement arrêté les infections. Un groupe de recherche d'une société appelée Netscout a signalé que de nouvelles découvertes concernant la résurgence de Trickbot dans sa variante Linux. Apparemment, les groupes de piratage ont transféré leurs efforts dans le développement de cette partie du malware au lieu de celle de Windows.

Cela est évident dans un développement récent appelé Ancre qui a été créé à la fin de 2019 qui est classé comme un cadre de porte dérobée basé sur TrickBot. L'une de ses caractéristiques distinctes est qu'il s'appuie sur le protocole DNS pour communiquer avec les serveurs désignés par les pirates d'une manière difficile à suivre.. Cela rend la détection de virus très difficile. En utilisant ce nouveau cadre, les infections effectuées permettront de plus grands abus car les attaques en cours sont difficiles à détecter et à atténuer..

Dans la dernière mise à jour d'Anchor, le la base de code a été déplacée vers Linux ce qui montre que les intentions des hackers sont de se concentrer sur cette plateforme. Les échantillons capturés montrent qu'un nouveau la séquence d'infection est implémentée:

  • infection initiale — Grâce à l'utilisation de différentes tactiques de distribution de logiciels malveillants, le framework Anchor TrickBot sera déployé sur l'hôte cible. Lorsque cela est fait, le code d'exécution correspondant sera lancé.
  • Installation persistante — En s’insérant en tant que tâche cron, le virus sera installé en tant que composant système. Selon la configuration, cela peut contourner certaines fonctionnalités de sécurité, démarrer automatiquement lorsque l'ordinateur est allumé, et peut changer des valeurs de configuration importantes.
  • La collecte d'informations — L'analyse du code montre que le moteur révélera l'adresse IP publique des ordinateurs infectés et la transmettra aux pirates.. Un changement dans cette section de la configuration du malware peut inclure d'autres données qui doivent être détournées: fichiers personnels de l'utilisateur, Application Data, et valeurs du système d'exploitation.
  • Connexion au serveur — La phase finale est la connexion réelle au serveur contrôlé par le pirate informatique. Cela permet aux pirates de prendre complètement en charge les machines, espionner les victimes, et accéder à leurs données.

Les recherches sur la campagne de piratage se poursuivent. Nous espérons que bientôt ces infections pourront également être arrêtées efficacement.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Haut 15 Questions de sécurité Linux Vous ne saviez pas You Had Les administrateurs et utilisateurs Linux débutants doivent savoir que même si ...
  2. Mise à jour TrickBot bancaires cheval de Troie: WannaCry-Inspired Module maintenant actif Les chercheurs en sécurité ont découvert une nouvelle version si le tristement célèbre TrickBot...
  3. Les meilleurs serveur Linux Distributions en 2017 Gnu/Linux est l'un des principaux systèmes d'exploitation pour serveurs..
  4. TrickBot chevaux de Troie bancaires est ici pour remplacer Dyre Rencontrez TrickBot, a relatively new banking Trojan believed to be...
  5. Top Sécurité et confidentialité Les distributions Linux en 2019 Il existe de nombreuses distributions Linux spécialisées conçues avec ...
  6. La 10 Meilleures méthodes sur la façon d'améliorer la sécurité Linux Cet article de blog est créé dans le but de vous aider...
  7. Nouveau Windows 10 CCU Bypass utilisés par TrickBot à exécuter avec des privilèges d'administrateur Les opérateurs de TrickBot Trojan ont une fois de plus mis à jour son...
  8. Trickbot Banque cheval de Troie Août 2018 Mise à jour avec injection de code furtif Le cheval de Troie bancaire Trickbot a reçu Août 2018 mettre à jour...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord