I ricercatori di sicurezza di Cybereason hanno gettato nuova luce sul funzionamento di TrickBot.
I gruppi di minacce TrickBot e Shathak uniscono le forze
Secondo le ultime scoperte, gli attori delle minacce dietro il Trojan TrickBot, conosciuto come Mago Spider, stanno attualmente lavorando insieme al TA551 (Shathak) gruppo di minacce per distribuire malware TrickBot e BazarBackdoor, che vengono poi utilizzati per distribuire il ransomware Conti su sistemi compromessi. Gli attori delle minacce utilizzano i caricatori di malware per distribuire Conti da marzo 2021.
Cybereason sta avvisando le organizzazioni dello spam dannoso distribuito dagli attori delle minacce Shathak, sotto forma di file di archivio protetti da password allegati a e-mail di phishing. I file contengono documenti dannosi corredati di macro che scaricano ed eseguono TrickBot o BazarBackdoor. Gli attori della minaccia conducono altre attività, compresa la ricognizione, furto di credenziali, e l'esfiltrazione dei dati, prima di avviare le operazioni dannose.
“La macro rilascia un Microsoft Hypertext Markup Language (HTML) applicazioni (HTA) file sul file system e quindi esegue il file utilizzando l'utilità di Windows mshta.exe. Gli attori malintenzionati utilizzano mshta.exe per eseguire file HTA dannosi e aggirare le soluzioni di controllo delle applicazioni che non tengono conto dell'uso dannoso dell'utilità di Windows,” dice il rapporto.
Il payload finale dell'operazione dannosa è il ransomware Conti. Le precedenti campagne simili sono state utilizzate per consegnare Ryuk.
È interessante notare che le versioni recenti di TrickBot includono funzionalità di caricamento di malware. TrickBot è noto da tempo per supportare varie campagne di attacco condotte da diversi gruppi di minacce. Sia i criminali comuni che gli attori dello stato-nazione hanno usato la backdoor.
“TrickBot ha svolto un ruolo importante in molte campagne di attacco condotte da diversi attori delle minacce, dai comuni criminali informatici agli attori dello stato-nazione. Queste campagne hanno spesso comportato l'implementazione di ransomware come il ransomware Ryuk," il rapporto noto.
Conti è un attore di minacce ransomware di alto livello di lingua russa specializzato in operazioni di doppia estorsione in cui la crittografia dei dati e l'esfiltrazione dei dati avvengono contemporaneamente. Uno degli ultimi aggiornamenti del ransomware includeva la capacità di distruggere i backup dei dati. https://sensoritechforum.com/conti-ransomware-destroying-data-backups/
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: