Casa > Cyber ​​Notizie > TrickBot Linux Trojan continua ad attaccare le reti
CYBER NEWS

TrickBot Linux Trojan continua ad attaccare le reti

È stato compiuto uno sforzo congiunto per chiudere l'infrastruttura dannosa utilizzata per lanciare attacchi malware TrickBot, tuttavia, anche se questo tentativo ha avuto successo, recenti scoperte hanno scoperto che le versioni Linux continuano ad attaccare gli host. La variante Linux è stata trovata attiva in diverse campagne che proseguono sulle intenzioni del virus. TrickBot è ampiamente considerato uno dei malware più pericolosi degli ultimi anni.




La versione di TrickBot Linux continua ad attaccare le reti

Anche se la principale infrastruttura criminale di TrickBot è stato disattivato negli ultimi tempi da un collettivo di esperti di sicurezza, l'azienda di sicurezza informatica Netscout segnala che gli sforzi sono stati spostati alla versione Linux del malware. Ciò significa che il gruppo di sviluppo principale ha trasferito i propri sforzi in un altro gruppo di macchine che sono state impostate come nuovo obiettivo. Questo particolare malware ha iniziato la sua infezione in 2016 prendendo di mira principalmente i computer basati su Windows. Nel corso degli anni sono stati utilizzati diversi gruppi di hacking per modificare la base del codice e aggiungere moduli diversi. Ciò ha spinto varie società di sicurezza e ricercatori a creare difese proattive contro le intrusioni in corso.

Nel corso delle ultime settimane, un gruppo congiunto tra il Cyber ​​Command degli Stati Uniti e Microsoft è stato in grado di eliminare gran parte dei server controllati dagli hacker. Questo ha quasi sradicato la minaccia e posto rimedio a molti attacchi in corso che sono stati fermati. Tuttavia, questo non ha fermato del tutto le infezioni. Si chiama un gruppo di ricerca di una società Netscout ha riferito che nuove scoperte sulla rinascita di Trickbot nella sua variante Linux. Apparentemente, gruppi di hacker hanno trasferito i loro sforzi nello sviluppo di questa parte del malware invece di quella di Windows.

Ciò è evidente in un recente sviluppo chiamato Ancora che è stato creato alla fine del 2019 che è classificato come un framework backdoor basato su TrickBot. Una delle sue caratteristiche distintive è che si basa sul protocollo DNS per comunicare con i server designati dagli hacker in un modo difficile da tracciare. Ciò rende molto difficile il rilevamento dei virus. Utilizzando questo nuovo framework, le infezioni effettuate consentiranno un maggiore abuso poiché gli attacchi in corso sono difficili da rilevare e mitigare.

Nell'ultimo aggiornamento di Anchor the codebase è stato spostato su Linux il che mostra che le intenzioni degli hacker sono di concentrarsi su questa piattaforma. I campioni catturati mostrano che un nuovo file la sequenza di infezione è implementata:

  • infezione iniziale — Attraverso l'uso di diverse tattiche di distribuzione del malware, il framework Anchor TrickBot verrà distribuito all'host di destinazione. Al termine verrà avviato il relativo codice di esecuzione.
  • Installazione Persistent — Inserendosi come cron job, il virus verrà installato come componente di sistema. A seconda della configurazione, questo potrebbe ignorare alcune funzionalità di sicurezza, si avvia automaticamente all'accensione del computer, e può modificare importanti valori di configurazione.
  • Raccolta di informazioni — L'analisi del codice mostra che il motore rivelerà l'indirizzo IP pubblico dei computer infetti e lo inoltrerà agli hacker. Una modifica in questa sezione della configurazione del malware può includere altri dati che devono essere dirottati: file personali dell'utente, i dati delle applicazioni, e i valori del sistema operativo.
  • Connessione server — La fase finale è la connessione effettiva al server controllato dagli hacker. Ciò consente agli hacker di assumere completamente il controllo delle macchine, spia sulle vittime, e accedere ai propri dati.

La ricerca sulla campagna di hacking continua. Ci auguriamo che presto anche queste infezioni possano essere efficacemente fermate.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo