Des chercheurs en sécurité de Cybereason jettent un nouvel éclairage sur le fonctionnement de TrickBot.
Les groupes de menaces TrickBot et Shathak unissent leurs forces
Selon les dernières découvertes, les acteurs de la menace derrière le cheval de Troie TrickBot, connu sous le nom de Wizard Spider, travaillent actuellement avec le TA551 (Chathak) groupe de menaces pour distribuer les logiciels malveillants TrickBot et BazarBackdoor, qui sont ensuite utilisés pour déployer le ransomware Conti sur des systèmes compromis. Les acteurs de la menace utilisent les chargeurs de logiciels malveillants pour déployer Conti depuis mars 2021.
Cybereason met en garde les organisations contre les spams malveillants distribués par les acteurs de la menace Shathak, sous la forme de fichiers d'archive protégés par mot de passe joints aux e-mails de phishing. Les fichiers contiennent des documents malveillants associés à des macros qui téléchargent et exécutent soit TrickBot soit BazarBackdoor. Les acteurs menaçants mènent d'autres activités, y compris la reconnaissance, vol d'identifiants, et l'exfiltration de données, avant de lancer les opérations malveillantes.
“La macro supprime un langage de balisage hypertexte Microsoft (HTML) Applications (HTA) sur le système de fichiers, puis exécute le fichier à l'aide de l'utilitaire Windows mshta.exe. Des acteurs malveillants utilisent mshta.exe pour exécuter des fichiers HTA malveillants et contourner les solutions de contrôle des applications qui ne tiennent pas compte de l'utilisation malveillante de l'utilitaire Windows,” le rapport.
La charge utile finale de l'exploitation malveillante est le ransomware Conti. Des campagnes similaires précédentes ont été utilisées pour livrer Ryuk.
Il est à noter que les versions récentes de TrickBot incluent des capacités de chargement de logiciels malveillants. TrickBot est connu depuis longtemps pour soutenir diverses campagnes d'attaque menées par différents groupes de menaces. Les criminels de droit commun et les acteurs étatiques ont utilisé la porte dérobée.
"TrickBot a joué un rôle majeur dans de nombreuses campagnes d'attaque menées par différents acteurs de la menace, des cybercriminels ordinaires aux acteurs étatiques. Ces campagnes ont souvent impliqué le déploiement de ransomwares tels que le ransomware Ryuk," le rapport c'est noté.
Conti est un acteur de haut niveau russophone sur les menaces de ransomware spécialisé dans les opérations de double extorsion où le cryptage et l'exfiltration des données se produisent simultanément.. L'une des dernières mises à jour du ransomware incluait la possibilité de détruire les sauvegardes de données. https://sensortechforum.com/conti-ransomware-destroying-data-backups/
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: