Gli hacker di TrickBot creano nuove backdoor furtive per obiettivi di alto valore


13 Gennaio 2020 - PowerTrick è riservato agli obiettivi più redditizi nella lista dei colpi della banda.
PowerTrick è riservato agli obiettivi più redditizi nella lista dei colpi della banda.

Il famigerato gruppo di attacchi informatici di TrickBot ha sviluppato una nuova backdoor per monitorare i preziosi sistemi delle vittime post-exploit.

Soprannominato PowerTrick, l'obiettivo finale dello strumento di post-sfruttamento è "bypassare le restrizioni e i controlli di sicurezza per adattarsi alla nuova era dei controlli di sicurezza e sfruttare le reti più protette e sicure di alto valore".

I criminali informatici di TrickBot sono specializzati nel furto di credenziali bancarie in tutto il mondo, spesso da società aziendali. I trojan collegati al gruppo sono in costante stato di evoluzione, con nuovi moduli e strumenti in sviluppo per stare un passo avanti rispetto ai team IT e condurre sia l'esfiltrazione dei dati che la persistenza.

Nella seconda metà dello scorso anno, i ricercatori hanno avvertito che accanto a potenti Trojan, backdoor e tecniche di iniezione web, gli sviluppatori hanno ampliato il loro arsenale con strumenti progettati per attacchi di scambio SIM. Il malware TrickBot è stato anche collegato al furto basato su criptovaluta.

Il nuovo strumento è probabilmente lanciato tramite Windows PowerShell, affermano i ricercatori. Un modulo TrickBot riproposto chiamato "NewBCtest" è stato ottimizzato per accettare i comandi per l'esecuzione, inclusa la creazione di una backdoor più grande lungo la catena di attacco.

SentinelLabs afferma che il metodo impiegato è simile al PowerShell Empire open source, ma per rimanere nascosto, TrickBot ha scelto di progettare PowerTrick per "essere flessibile" e consentire l'aumento "al volo".
Le scansioni vengono eseguite per profilare il sistema infetto e le informazioni vengono restituite insieme a un ID utente univoco, inviato tramite la backdoor a un server di comando e controllo (C2) gestito dagli aggressori.

PowerTrick utilizzerà inoltre il framework di sfruttamento Metasploit e varie utility PowerShell per eseguire il pivot su unità e sistemi in rete, distribuire malware aggiuntivo ed eseguire attività di pulizia e detonazione.

"Rimuovono tutti i file esistenti che non sono stati eseguiti correttamente e si spostano su un diverso target di scelta o eseguono movimenti laterali all'interno dell'ambiente verso sistemi di alto valore come i gateway finanziari", afferma il team.

È questo movimento laterale che dovrebbe interessare le imprese. Come abbiamo visto con il recente incidente di Travelex, il malware in grado di diffondere e crittografare o rubare i dati in un ambiente di rete, può rivelarsi disastroso.

Recentemente TrickBot è stato anche collegato a "Anchor", un set di strumenti che sembra fornire un collegamento tra gli operatori e i gruppi di hacking della Corea del Nord.


-------------------------
L'originale di questo articolo è stato pubblicato su zdnet.com



Commenti:

Nessun commento

Accedi al portale per commentare l'articolo. Accedi