Операторы трояна TrickBot сотрудничают с группой Shathak в распространении своего вредоноса, что в конечном итоге приводит к заражению целей шифровальщиком Conti.
«TrickBot развивался на протяжении многих лет, в последних версиях реализованы возможности загрузки вредоносного ПО» - заявили аналитики по безопасности Cybereason Александр Миленкоски и Эли Салем в отчете, посвященном анализу последних кампаний по распространению вредоносного ПО. «TrickBot сыграл важную роль во многих кибератаках, проводимых различными злоумышленниками - от обычных киберпреступников до государственных хакеров».
Последний отчет подготовлен IBM X-Force в прошлом месяце, в нем сообщалось о партнерстве TrickBot с другими киберпреступными группировками, включая Shathak, для распространения собственных вредоносных программ. Shathak, также отслеживаемая под псевдонимом TA551, это продвинутая хакерская группа, распространяющая вредоносное ПО по всему миру с использованием защищенных паролями ZIP-архивов, содержащих документы Office с макросами.
Группа TrickBot - также известная как ITG23 или Wizard Spider - также отвечает за разработку и поддержку шифровальщика Conti, а также продает доступ к вредоносному программному обеспечению партнерам по модели ransomware-as-a-service (RaaS).
Цепочки заражения с участием Shathak обычно включают отправку фишинговых писем, в которые вложены документы Word с вредоносными макросами, что в конечном итоге приводит к развертыванию вредоносов TrickBot или BazarBackdoor, которые затем используются в качестве канала для развертывания Cobalt Strike и шифровальщиков - но не ранее, чем будет проведена разведка, латеральное перемещение, кража учетных данных и извлечение конфиденциальной информации.
Исследователи Cybereason заявили, что среднее время от момента, когда атакующие получают первоначальный доступ в сеть, до момента, когда фактически развертывается шифровальщик, составило два дня.
Результаты исследования были получены после того, как Агентство по кибербезопасности и защите инфраструктуры США и Федеральное бюро расследований сообщили, что по состоянию на сентябрь 2021 года на американские и международные организации было совершено не менее 400 атак шифровальщика Conti.
Для защиты систем от Conti агентства рекомендуют применять различные меры по снижению рисков, включая «внедрение многофакторной аутентификации, сегментация сети, оперативное обновление операционных систем и программного обеспечения».
Источник: https://is-systems.org