Модуль, который все еще находится в стадии разработки, направлен на компрометацию систем Windows путем взлома учетных записей через протокол удаленного рабочего стола.
Trickbot, популярная среда распространения вредоносных программ, которую часто называют просто трояном, получил новую хитрость, когда разработчики добавили модуль, который фокусируется на взломе систем Windows с помощью грубой обработки. Об этом говорится в опубликованном сегодня анализе безопасности BitDefender.
Модуль, впервые обнаруженный в январе, но только публично проанализированный на этой неделе, кажется, в основном предназначен для систем в Гонконге и Соединенных Штатах и опирается на командно-контрольные (С2) серверы, базирующиеся в основном в России и Северной Европе. Модуль загружает список целей, имен пользователей и паролей с серверов C2, может проверить, работают ли целевые домены со службой протокола удаленного рабочего стола (RDP), и может предпринять попытку вручную упорядоченной атаки на список доменов.
В целом, атака не слишком сложна, но показывает, что вредоносная платформа все еще развивается, говорит Ливиу Арсен, исследователь глобальной кибербезопасности для фирмы по разработке программного обеспечения безопасности BitDefender.
«Технически это не что-то сложное или продвинутое, но он продолжает делать интересные вещи», - говорит он. «У этого есть все черты продвинутой атаки, но это совсем не сложно. Это просто целевая атака».
Впервые обнаружен в 2016 году, Trickbot, пожалуй, наиболее известен как часть часто встречающейся вредоносной цепочки Emotet-Trickbot-Ryuk, которая систематически нацеливалась на компании, скомпрометировала их, а затем установила вредоносную программу-вымогатель. Trickbot принял ряд различных атак на систему Windows, последняя из которых - атака на основе ActiveX. Около трех четвертей целевых организаций, по-видимому, относятся к сфере телекоммуникаций, образования и исследований или финансовых услуг, говорится в отчете BitDefender.
«Судя по списку целей, кто бы ни создал этот модуль, он, похоже, сосредоточился на компромиссах типа национального государства, а не на финансовых вещах, как в прошлом», - говорит Арсен. Операторы, стоящие за инфраструктурой вредоносных программ Trickbot, продолжают добавлять такие функции, как сбор паролей, улучшенные методы уклонения от обнаружения и возможность загрузки и запуска вымогателей Ryuk. В декабре охранная фирма SentinelOne обнаружила, что операторы Trickbot начали продавать доступ к скомпрометированным сетям.
Ранее в этом году исследователи безопасности обнаружили, что «Рюк» нацелился на множество критически важных объектов инфраструктуры, включая систему промышленного контроля и морские объекты. Другой компонент в триаде, Emotet, все больше теряет свои банковские троянские корни и сейчас пытается использовать компромиссные решения для электронной почты, чтобы распространить и обналичить деньги.
В настоящее время Trickbot имеет более десятка различных модулей, от пакетов программного обеспечения, которые обеспечивают распространение в виде червей, до программного обеспечения для разведки, которое собирает информацию о системах, к программам удаленного администрирования, которые позволяют злоумышленнику получить доступ к скомпрометированным системам.
Группа также имеет обширную инфраструктуру C2. Почти 3000 серверов предназначены для управления скомпрометированными системами, а еще 556 серверов используются для загрузки обновлений.
В то время как инфраструктура Trickbot предполагает группу, связанную с шпионской работой, атрибуция сложна, говорит Арсен из BitDefender.
«Структура командования и управления в основном базируется в России. Тогда у вас есть модуль, который в основном предназначен для списка вертикалей - телекоммуникации, образование, наука и исследования - в двух разных странах, США и Гонконге, " он говорит. «Мы не можем положить пальцы на любой кусок и сказать, «Это судебно-медицинская экспертиза, которая указывает на то, что это атака государства-государства».
По словам Арсена, компании должны следить за тем, чтобы у уязвимых программных приложений не было портов, подключенных к Интернету. Кроме того, злоумышленники часто становятся жертвами нападений на сотрудников, поэтому обучение рабочей силы может помочь укрепить организацию. «Первоначальное заражение обычно происходит через фишинговые электронные письма, так что это означает, что вам нужно обучать сотрудников», - говорит он.
Компании также должны исследовать различные способы запутывания своей инфраструктуры удаленного доступа, особенно когда гораздо больше сотрудников работают дома. «Вы должны быть в состоянии увидеть, происходит ли что-то в вашей сети .
Предупреждение: Вся информация представлена исключительно в образовательных целях.
Дополнительная информация и статьи
