Huis > Cyber ​​Nieuws > TrickBot Linux Trojan blijft netwerken aanvallen
CYBER NEWS

TrickBot Linux Trojan blijft netwerken aanvallen

Er is een gezamenlijke inspanning geleverd om de kwaadaardige infrastructuur die wordt gebruikt om TrickBot-malwareaanvallen uit te voeren, uit te schakelen, hoewel deze poging succesvol was, ontdekten recente bevindingen dat de Linux-versies hosts blijven aanvallen. De Linux-variant is actief gebleken in verschillende campagnes die voortgaan op de bedoelingen van het virus. TrickBot wordt algemeen beschouwd als een van de gevaarlijkste malware van de afgelopen jaren.




TrickBot Linux-versie blijft netwerken aanvallen

Hoewel de belangrijkste criminele infrastructuur van TrickBot werd de afgelopen tijd uitgeschakeld door een collectief van beveiligingsexperts, het cyberbeveiligingsbedrijf Netscout meldt dat de inspanningen zijn verplaatst naar de Linux-versie van de malware. Dit betekent dat de belangrijkste ontwikkelgroep zijn inspanningen heeft overgebracht naar een andere groep machines die als nieuw doelwit worden gesteld. Deze specifieke malware begon zijn infectie in 2016 door zich voornamelijk te richten op Windows-computers. In de loop der jaren zijn verschillende hackgroepen gebruikt om de codebasis aan te passen en verschillende modules toe te voegen. Dit heeft verschillende beveiligingsbedrijven en onderzoekers ertoe aangezet om proactieve verdediging tegen de aanhoudende indringers te creëren.

In de afgelopen weken, een gezamenlijke groep tussen het Amerikaanse Cyber ​​Command en Microsoft wist een groot deel van de door hackers gecontroleerde servers uit te schakelen. Hierdoor werd de dreiging bijna uitgeroeid en werden veel lopende aanvallen verholpen. Echter, dit hield de infecties niet helemaal tegen. Een onderzoeksgroep van een bedrijf belde Netscout meldde dat nieuwe bevindingen rond de heropleving van Trickbot in zijn Linux-variant. Blijkbaar, hackgroepen hebben hun inspanningen overgedragen op de ontwikkeling van dit deel van de malware in plaats van de Windows-versie.

Dit blijkt uit een recente ontwikkeling genaamd Anker die is gemaakt aan het einde van 2019 dat is gecategoriseerd als een achterdeurraamwerk op basis van TrickBot. Een van de onderscheidende kenmerken ervan is dat het afhankelijk is van het DNS-protocol om te communiceren met de door de hacker aangewezen servers op een manier die moeilijk te volgen is. Dit maakt virusdetectie erg moeilijk. Door dit nieuwe raamwerk te gebruiken, zullen de gemaakte infecties meer misbruik mogelijk maken, omdat de aanhoudende aanvallen moeilijk te detecteren en te verminderen zijn.

In de laatste update van Anchor het codebase is verplaatst naar Linux waaruit blijkt dat het de bedoeling van de hackers is om zich op dit platform te concentreren. De vastgelegde monsters laten zien dat een nieuwe infectie sequentie is geïmplementeerd:

  • Initial Infectie — Door het gebruik van verschillende malwareverspreidingstactieken wordt het Anchor TrickBot-framework geïmplementeerd op de doelhost. Wanneer dit is gebeurd, wordt de relevante uitvoeringscode gestart.
  • persistent Installatie — Door zichzelf in te voegen als een cron-taak, wordt het virus als een systeemcomponent geïnstalleerd. Afhankelijk van de configuratie kan dit bepaalde beveiligingsfuncties omzeilen, start automatisch wanneer de computer wordt ingeschakeld, en kunnen belangrijke configuratiewaarden veranderen.
  • Informatie verzamelen — De code-analyse laat zien dat de engine het openbare IP-adres van de geïnfecteerde computers onthult en doorstuurt naar de hackers. Een wijziging in dit gedeelte van de malwareconfiguratie kan andere gegevens bevatten die moeten worden gekaapt: persoonlijke gebruikersbestanden, applicatiegegevens, en besturingssysteemwaarden.
  • server Connection — De laatste fase is de daadwerkelijke verbinding met de hacker-gecontroleerde server. Hierdoor kunnen de hackers de machines volledig overnemen, spion op de slachtoffers, en toegang krijgen tot hun gegevens.

Het onderzoek naar de hackcampagne gaat door. We hopen dat deze infecties binnenkort ook effectief kunnen worden gestopt.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens