Bahkan saat infrastruktur TrickBot tutup, operator malware terus menyempurnakan dan memperlengkapi kembali persenjataan mereka untuk melakukan serangan yang berujung pada penyebaran Conti ransomware.
IBM Security X-Force, yang menemukan versi terbaru dari pintu belakang AnchorDNS geng kriminal , menjuluki varian baru AnchorMail yang ditingkatkan.
AnchorMail "menggunakan server [perintah-dan-kontrol] berbasis email yang berkomunikasi dengan menggunakan protokol SMTP dan IMAP melalui TLS," kata insinyur balik malware IBM, Charlotte Hammond . "Dengan pengecualian mekanisme komunikasi C2 yang dirombak, perilaku AnchorMail sangat mirip dengan pendahulunya AnchorDNS."
Pelaku kejahatan dunia maya di balik TrickBot, ITG23 alias Wizard Spider, juga dikenal karena pengembangan kerangka kerja malware Anchor, pintu belakang yang disediakan untuk menargetkan korban bernilai tinggi terpilih setidaknya sejak 2018 melalui TrickBot dan BazarBackdoor (alias BazarLoader), implan tambahan yang direkayasa oleh kelompok yang sama.
Selama bertahun-tahun, grup ini juga diuntungkan dari hubungan simbiosis dengan kartel ransomware Conti, dengan yang terakhir memanfaatkan muatan TrickBot dan BazarLoader untuk mendapatkan pijakan dalam menyebarkan malware enkripsi file.
"Pada akhir 2021, Conti pada dasarnya telah mengakuisisi TrickBot, dengan beberapa pengembang dan manajer elit bergabung dengan ransomware cosa nostra," kata Yelisey Boguslavskiy dari AdvIntel dalam sebuah laporan yang diterbitkan pertengahan Februari.
Kurang dari 10 hari kemudian, pelaku TrickBot menutup infrastruktur botnet mereka setelah jeda dua bulan yang tidak biasa dalam kampanye distribusi malware, menandai poros yang kemungkinan akan menyalurkan upaya mereka menuju keluarga malware tersembunyi seperti BazarBackdoor.
Di tengah semua perkembangan ini, backdoor AnchorDNS telah mendapatkan faceliftnya sendiri. Sementara pendahulunya berkomunikasi ke server C2 menggunakan tunneling DNS – teknik yang melibatkan penyalahgunaan protokol DNS untuk menyelinap lalu lintas berbahaya melewati pertahanan organisasi – versi berbasis C++ yang lebih baru menggunakan pesan email yang dibuat khusus.
"AnchorMail menggunakan protokol SMTPS terenkripsi untuk mengirim data ke C2, dan IMAPS digunakan untuk menerimanya," kata Hammond, menambahkan bahwa malware membangun ketekunan dengan membuat tugas terjadwal yang diatur untuk dijalankan setiap 10 menit, menindaklanjutinya dengan menghubungi Server C2 untuk mengambil dan menjalankan perintah apa pun yang akan dijalankan.
Perintah tersebut mencakup kemampuan untuk mengeksekusi binari, DLL, dan kode shell yang diambil dari server jauh, meluncurkan perintah PowerShell, dan menghapus dirinya sendiri dari sistem yang terinfeksi.
"Penemuan varian Anchor baru ini menambahkan pintu belakang tersembunyi baru untuk digunakan selama serangan ransomware dan menyoroti komitmen grup untuk meningkatkan malware-nya," kata Hammond. "[AnchorMail] sejauh ini hanya diamati dengan menargetkan sistem Windows. Namun, karena AnchorDNS telah di- porting ke Linux , tampaknya varian Linux dari AnchorMail mungkin muncul juga."
source: thehackernews
Posting Komentar