Beveiligingsonderzoekers van Cybereason werpen nieuw licht op de werking van TrickBot.
TrickBot en Shathak Threat Groups bundelen krachten
Volgens de laatste bevindingen, de bedreigingsactoren achter de TrickBot-trojan, bekend als Wizard Spider, werken momenteel samen met de TA551 (Shathak) bedreigingsgroep om TrickBot- en BazarBackdoor-malware te verspreiden, die vervolgens worden gebruikt om Conti-ransomware te implementeren op gecompromitteerde systemen. De dreigingsactoren gebruiken sinds maart de malware-loaders om Conti in te zetten 2021.
Cybereason waarschuwt organisaties voor kwaadaardige spam die wordt verspreid door Shathak-bedreigingsactoren, in de vorm van met een wachtwoord beveiligde archiefbestanden als bijlage bij phishing-e-mails. De bestanden bevatten kwaadaardige documenten doorspekt met macro's die TrickBot of BazarBackdoor downloaden en uitvoeren. De dreigingsactoren voeren andere activiteiten uit, inclusief verkenning, diefstal van identiteitsgegevens, en data-exfiltratie, voorafgaand aan het starten van de kwaadaardige operaties.
“De macro dropt een Microsoft Hypertext Markup Language (HTML) toepassingen (HTA) bestand op het bestandssysteem en voert het bestand vervolgens uit met behulp van het Windows-hulpprogramma mshta.exe. Kwaadwillenden gebruiken mshta.exe om kwaadaardige HTA-bestanden uit te voeren en oplossingen voor applicatiebeheer te omzeilen die geen rekening houden met het kwaadaardige gebruik van het Windows-hulpprogramma,” aldus het rapport.
De uiteindelijke lading van de kwaadaardige werking is Conti ransomware. Eerdere soortgelijke campagnes zijn gebruikt om Ryuk . te leveren.
Het is opmerkelijk dat recente versies van TrickBot mogelijkheden bieden om malware te laden. TrickBot staat al lang bekend om het ondersteunen van verschillende aanvalscampagnes die worden uitgevoerd door verschillende dreigingsgroepen. Zowel gewone criminelen als natiestaten hebben de achterdeur gebruikt.
“TrickBot heeft een belangrijke rol gespeeld in veel aanvalscampagnes die zijn uitgevoerd door verschillende dreigingsactoren, van gewone cybercriminelen tot nationale actoren. Deze campagnes hebben vaak betrekking op de inzet van ransomware, zoals de Ryuk-ransomware," het verslag bekend.
Conti is een Russisch sprekende ransomware-bedreigingsacteur die gespecialiseerd is in dubbele afpersingsoperaties waarbij gegevensversleuteling en gegevensexfiltratie gelijktijdig plaatsvinden. Een van de laatste updates van de ransomware omvatte de mogelijkheid om gegevensback-ups te vernietigen. https://sensorstechforum.com/conti-ransomware-destroying-data-backups/