Cybereasonのセキュリティ研究者は、TrickBotの仕組みに新たな光を当てました.
TrickBotとShathakの脅威グループが力を合わせる
最新の調査結果によると, TrickBotトロイの木馬の背後にいる脅威アクター, ウィザードスパイダーとして知られています, 現在TA551と連携しています (シャタック) TrickBotおよびBazarBackdoorマルウェアを配布する脅威グループ, 次に、侵害されたシステムにContiランサムウェアを展開するために使用されます. 攻撃者は3月からマルウェアローダーを使用してContiを展開しています 2021.
Cybereasonは、Shathakの脅威アクターによって配布された悪意のあるスパムについて組織に警告しています, フィッシングメールに添付されたパスワードで保護されたアーカイブファイルの形式. ファイルには、TrickBotまたはBazarBackdoorのいずれかをダウンロードして実行するマクロが組み込まれた悪意のあるドキュメントが含まれています. 攻撃者は他の活動を行います, 偵察を含む, クレデンシャルの盗難, およびデータの漏えい, 悪意のある操作を開始する前に.
“マクロはMicrosoftハイパーテキストマークアップ言語を削除します (HTML) アプリケーション (HTA) ファイルシステム上でファイルを作成し、mshta.exeWindowsユーティリティを使用してファイルを実行します。. 悪意のある攻撃者はmshta.exeを使用して、悪意のあるHTAファイルを実行し、Windowsユーティリティの悪意のある使用を考慮しないアプリケーション制御ソリューションをバイパスします。,” レポートによると.
悪意のある操作の最終的なペイロードはContiランサムウェアです. 以前の同様のキャンペーンは、リュークを配信するために使用されています.
TrickBotの最近のバージョンにマルウェア読み込み機能が含まれていることは注目に値します. TrickBotは、さまざまな脅威グループによって実行されるさまざまな攻撃キャンペーンをサポートすることで長い間知られています。. 一般的な犯罪者と国民国家の関係者の両方が裏口を使用しました.
「TrickBotは、さまざまな脅威アクターによって実施される多くの攻撃キャンペーンで主要な役割を果たしてきました。, 一般的なサイバー犯罪者から国民国家の攻撃者まで. これらのキャンペーンには、Ryukランサムウェアなどのランサムウェアの展開が含まれることがよくあります。," レポート 了解しました.
Contiは、データの暗号化とデータの抽出が同時に行われる二重恐喝操作を専門とする、ロシア語を話す高レベルのランサムウェア脅威アクターです。. ランサムウェアの最新のアップデートの1つには、データバックアップを破棄する機能が含まれていました. https://Sensorstechforum.com/conti-ransomware-destroying-data-backups/
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: