Trickbot Malware Gang upgradet zijn AnchorDNS-backdoor naar AnchorMail

Trickbot Malware Gang Upgrades its AnchorDNS Backdoor to AnchorMail Nachrichten

Zelfs nu de TrickBot-infrastructuur gesloten is, blijven de exploitanten van de malware hun arsenaal verfijnen en opnieuw uitrusten om aanvallen uit te voeren die culmineerden in de inzet van Conti-ransomware.

IBM Security X-Force, die de vernieuwde versie van de criminele bende ontdekte AnkerDNS backdoor, de nieuwe, verbeterde variant AnchorMail genoemd.

AnchorMail „gebruikt een op e-mail gebaseerd [command-and-control] server waarmee het communiceert met behulp van SMTP- en IMAP-protocollen via TLS,“ IBM’s malware reverse engineer, Charlotte Hammond, zei. „Met uitzondering van het vernieuwde C2-communicatiemechanisme, sluit het gedrag van AnchorMail zeer nauw aan bij dat van zijn AnchorDNS-voorganger.“

De cybercriminaliteitsacteur achter TrickBot, ITG23 ook bekend als Wizard Spider, staat ook bekend om zijn ontwikkeling van het Anchor-malwareframework, een achterdeur die sinds ten minste 2018 is gereserveerd voor het targeten van geselecteerde hoogwaardige slachtoffers via TrickBot en BazarBackdoor (ook bekend als BazarLoader), een extra implantaat dat is ontwikkeld door dezelfde groep.

In de loop der jaren heeft de groep ook geprofiteerd van een symbiotische relatie met het Conti ransomware-kartel, waarbij de laatste gebruikmaakte van de payloads van TrickBot en BazarLoader om voet aan de grond te krijgen voor de implementatie van de bestandsversleutelende malware.

„Tegen het einde van 2021 had Conti in wezen TrickBot overgenomen, waarbij meerdere elite-ontwikkelaars en managers zich bij de ransomware cosa nostra voegden“, zegt Yelisey Boguslavskiy van AdvIntel. dat is genoteerd in een rapport dat medio februari werd gepubliceerd.

Minder dan 10 dagen later sloten de TrickBot-acteurs hun botnetinfrastructuur af na een ongebruikelijke onderbreking van twee maanden in de malwaredistributiecampagnes, wat een spil markeert die waarschijnlijk hun inspanningen zal richten op heimelijke malwarefamilies zoals BazarBackdoor.

Te midden van al deze ontwikkelingen heeft de AnchorDNS-backdoor een eigen facelift gekregen. Terwijl de voorganger communiceert met zijn C2-servers met behulp van DNS-tunneling – een techniek waarbij misbruik wordt gemaakt van het DNS-protocol om kwaadaardig verkeer langs de verdediging van een organisatie te sluipen – de nieuwere op C++ gebaseerde versie maakt gebruik van speciaal vervaardigde e-mailberichten.

„AnchorMail gebruikt het gecodeerde SMTPS-protocol voor het verzenden van gegevens naar de C2 en IMAPS wordt gebruikt om het te ontvangen“, merkte Hammond op. C2-server om alle uit te voeren opdrachten op te halen en uit te voeren.

De opdrachten omvatten de mogelijkheid om binaire bestanden, DLL’s en shellcode uit te voeren die zijn opgehaald van de externe server, PowerShell-opdrachten te starten en zichzelf van de geïnfecteerde systemen te verwijderen.

„De ontdekking van deze nieuwe Anchor-variant voegt een nieuwe onopvallende achterdeur toe voor gebruik tijdens ransomware-aanvallen en benadrukt de toewijding van de groep om zijn malware te upgraden“, zei Hammond. „[AnchorMail] is tot nu toe alleen waargenomen gericht op Windows-systemen. Aangezien AnchorDNS echter is overgezet naar Linux, lijkt het waarschijnlijk dat er ook een Linux-variant van AnchorMail zal ontstaan.“

David
Rate author
Hackarizona