Microsoft heeft woensdag een eerder onontdekte techniek beschreven die door de TrickBot-malware is gebruikt en waarbij gecompromitteerde Internet of Things (IoT) -apparaten worden gebruikt als tussenpersoon voor het tot stand brengen van communicatie met de command-and-control (C2) -servers.
“Door MikroTik-routers te gebruiken als proxyservers voor zijn C2-servers en het verkeer om te leiden via niet-standaard poorten, voegt TrickBot een nieuwe persistentielaag toe die kwaadaardige IP’s helpt detectie door standaard beveiligingssystemen te omzeilen”, Microsoft’s Defender for IoT Research Team en Threat Intelligence Center ( MSTIC) zei.
TrickBot, die in 2016 naar voren kwam als een banktrojan, is uitgegroeid tot een geavanceerde en aanhoudende bedreiging, met zijn modulaire architectuur waardoor het zijn tactieken kan aanpassen aan verschillende netwerken, omgevingen en apparaten en access-as-a-service kan bieden voor next-stage payloads zoals Conti ransomware.
De uitbreiding naar de mogelijkheden van TrickBot komt te midden van berichten dat zijn infrastructuur offline gaat, zelfs terwijl het botnet zijn functies voortdurend heeft verfijnd om zijn aanvalsframework duurzaam te maken, reverse engineering te omzeilen en de stabiliteit van zijn C2-servers te behouden.
De nieuwe methode die door MSTIC is geïdentificeerd, omvat het gebruik van gehackte IoT-apparaten zoals routers van MikroTik om “een communicatielijn te creëren tussen het door TrickBot getroffen apparaat en de C2-server.”
Dit houdt ook in dat er in de routers wordt ingebroken door een combinatie van methoden te gebruiken, namelijk standaardwachtwoorden, brute-force-aanvallen of het exploiteren van een nu gepatchte fout in MikroTik RouterOS (CVE-2018-14847), gevolgd door het wijzigen van het wachtwoord van de router om toegang te behouden.
In de volgende stap, de aanvallers dan probleem een NAT-opdracht (Network Address Translation) die is ontworpen om verkeer tussen poorten 449 en 80 in de router om te leiden en een pad tot stand te brengen voor de met TrickBot geïnfecteerde hosts om met de C2-server te communiceren.
“Naarmate beveiligingsoplossingen voor conventionele computerapparatuur blijven evolueren en verbeteren, zullen aanvallers alternatieve manieren onderzoeken om doelnetwerken te compromitteren”, aldus de onderzoekers. “Aanvalspogingen tegen routers en andere IoT-apparaten zijn niet nieuw en omdat ze niet worden beheerd, kunnen ze gemakkelijk de zwakste schakels in het netwerk zijn.”
