标签: Trickbot

加拿大 MSP 披露数据泄露,勒索软件攻击失败

TrickBot的Anchor恶意软件平台已被移植为Linux感染设备,并使用秘密渠道破坏了更多具有高影响力和高价值的目标。 TrickBot是一个多功能的Windows恶意软件平台,该平台使用不同的模块执行各种恶意活动,包括信息窃取、密码窃取、Windows域渗透和恶意软件传递。 TrickBot由威胁参与者租用,他们利用威胁渗透网络并收获任何有价值的东西。然后将其用于部署Ryuk和Conti等勒索软件,以加密网络设备,作为最终攻击。 在2019年底,SentinelOne和NTT都报告了一个名为Anchor的新TrickBot框架,该框架利用DNS与命令和控制服务器进行通信。 TrickBot的Anchor框架 来源:SentinelOne   该恶意软件名为Anchor_DNS,可用于具有有价值财务信息的高价值,高影响力目标。 除了通过Anchor感染进行勒索软件部署外,TrickBot Anchor参与者还将其用作针对APT的,针对销售点和财务系统的活动的后门程序。   TrickBot的Anchor后门恶意软件已移植到Linux 从历史上看,Anchor一直是Windows的恶意软件。最近,第二阶段安全研究人员  Waylon Grange发现了一个新样本,该样本  表明Anchor_DNS已被  移植到  名为’Anchor_Linux’ 的新Linux后门版本中。 在x64 Linux可执行文件中找到Anchor_Linux字符串 来源:Waylon Grange   先进的英特尔公司的Vitali Kremez  分析了Intezer Labs发现的新型Anchor_Linux恶意软件的样本。 Kremez告诉BleepingComputer,安装后,Anchor_Linux将使用以下crontab条目将自身配置为每分钟运行: */1 * * * * root [filename] 通过CRON设置持久性 来源:Vitali Kremez   除了充当可以将恶意软件拖放到Linux设备上并执行它的后门程序之外,该恶意软件还包含嵌入式Windows TrickBot可执行文件。 嵌入式Windows可执行文件 来源:Vitali Kremez 根据Intezer的说法,此嵌入式二进制文件是一种新的轻量级TrickBot恶意软件,“具有与旧版TrickBot工具的代码连接”,用于感染同一网络上的Windows计算机。 为了感染Windows设备,Anchor_Linux将使用SMB和$ IPC将嵌入式TrickBot恶意软件复制到同一网络上的Windows主机。 成功复制到Windows设备后,Anchor_Linux将使用服务控制管理器远程协议  和名为pipe的  SMB SVCCTL将其配置为Windows服务  。 通过SMB复制文件 来源:Waylon Grange   配置服务后,恶意软件将在Windows主机上启动,并重新连接到命令和控制服务器以执行命令。 此Linux版本允许威胁参与者使用后门将非Windows环境作为目标,从而使攻击者秘密地转向同一网络上的Windows设备。 “该恶意软件在UNIX环境中充当隐蔽的后门持久性工具,被用作Windows利用的枢纽,并在电子邮件网络钓鱼之外用作非正统的初始攻击媒介。它使该组织可以定位和感染UNIX环境中的服务器(例如路由器) )并将其用于企业网络。”在与该恶意软件的对话中,Kremez告诉BleepingComputer。 更糟糕的是,许多物联网设备(例如路由器,VPN设备和NAS设备)运行在Linux操作系统上,这可能成为Anchor_Linux的目标。 随着TrickBot恶意软件的这种发展,Linux系统和IoT设备具有足够的保护和监视以检测诸如Anchor_Linux之类的威胁变得越来越重要。 对于相关的Linux用户,他们可能已被感染,Anchor_Linux将在创建日志文件/tmp/anchor.log。如果存在此文件,则应针对Anchor_Linux恶意软件的存在对系统执行完整的审核。 Kremez告诉BleepingComputer,他相信Anchor_Linux仍在开发中,这是因为要测试Linux可执行文件中的功能。 预计TrickBot将继续发展,使其成为Anchor框架的全功能成员。   消息来源:Bleepingcomputer,译者:叶绿体。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

TrickBot 银行木马开始窃取 Windows 问题历史记录

据外媒 bleepingcomputer 报道,最近监测到一个版本的 TrickBot 显示出了它对一些特有数据的兴趣:Windows 系统可靠性和性能信息。 微软在 Windows 操作系统上运行可靠性分析组件(RAC),为可靠性监测提供有关软件安装、升级、操作系统和应用程序错误以及硬件相关问题的详细信息。为此,它每小时使用 RACAgent 计划任务,并将所有数据转储到本地文件夹。用户可以从任务计划进程中禁用这些详细信息的收集,但这样就不能再获得可靠性监测的系统稳定性索引。 网络钓鱼活动揭示了 TrickBot 的新兴趣 My Online Security 对网络钓鱼活动的分析显示,本周发现的 TrickBot 变体主要集中在读取和获取操作系统可靠性数据库以及C:\ ProgramData \ Microsoft \ RAC \下的可用信息。 安全研究员  詹姆斯  在 Twitter 上发布了该恶意软件搜索到的文件列表: Exfiltrated Data 目前还不清楚这类数据会对黑客有什么好处,但它可以用于恶意目的,例如更好地定位钓鱼邮件。 TrickBot 通过虚假 Lloyds 银行电子邮件传播 该网络钓鱼活动使用虚假的 Lloyds 银行邮件地址’donotreply@lloydsbankdocs.com’传播 TrickBot,这很容易被误以为真。钓鱼者伪造邮件信息,诱使潜在受害者打开包含恶意宏的附加文档。一旦受害者打开文档,宏代码将下载并执行 TrickBot。 网络钓鱼电子邮件 附在钓鱼邮件上的 Office Word 文档包含 Lloyds 银行的文档页头,使其看起来更加真实。此外,黑客还添加了赛门铁克徽标,让恶意文件看起来通过了安全解决方案的验证。 尽管黑客努力隐藏其恶意性质,但该文件目前至少被 VirusTotal 上的 30 个防病毒引擎检测到。   消息来源:bleepingcomputer,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

银行木马 Trickbot 变种新添蠕虫病毒攻击模块

据外媒报道,网络安全公司 Flashpoint 专家近期发现黑客通过银行木马 Trickbot 新变种的蠕虫病毒攻击模块肆意传播国际金融垃圾邮件,旨在瞄准全球银行系统展开新一轮攻击活动。 调查显示,虽然 Trickbot 更新版本仍在测试,但该木马的设计理念主要是利用服务器消息模块(SMB)在线传播,与勒索病毒 WannaCry 在五月份感染 150 多个国家的 30 多万台电脑的攻击方式存在异曲同工之处。幸运的是,Trickbot 无法随机扫描 SMB 连接的外部互联网地址,这意味着它的传播范围相比 WannaCry 较小 。 Trickbot 于 2016 年首次发现,最初仅侵入亚洲、澳大利亚与新西兰银行系统。但随着木马功能的不断升级,英国、德国与加拿大各机构的客户纷纷遭受影响。目前,开发人员的身份背景尚不知晓。 银行木马 Trickbot 新变种允许黑客发起重定向攻击,诱导用户访问恶意网站输入个人凭据。据悉,攻击者大规模增加垃圾邮件每日数量、肆意传播银行木马 Trickbot,以致影响全球用户及各个地区金融指标。 目前,黑客正测试银行木马新模块,即蠕虫病毒横向移动功能,允许感染同一局域网(LAN)上的其他计算机系统并将其作为僵尸网络分发传播恶意软件。尽管蠕虫模块的当前形式过于简单,但很显然该组织是通过复制勒索病毒 WannaCry 与 NotPetya 的攻击方式后深入研究而成。 原作者:Jason Murdock, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接