TrickBot: Работа вредоносного ПО прекращена, разработчики переходят на BazarBackdoor

отредактировано 26 фев Раздел: Вирусы & Антивирусы
TrickBot: выпущено обновление вредоносного ПО с новыми функциями

Киберпреступная группа TrickBot выпустила сотую версию (v100) вредоносного ПО TrickBot с дополнительными функциями, позволяющими избежать обнаружения.

TrickBot-Logo.png


TrickBot - это вредоносное ПО, которое обычно устанавливается через вредоносные фишинговые сообщения электронной почты или другое вредоносное ПО. После установки TrickBot будет незаметно работать на компьютере жертвы, пока он загружает другие модули для выполнения различных задач.

Эти модули выполняют широкий спектр злонамеренных действий, включая кражу базы данных служб Active Directory домена, распространение в сети, блокировку экрана, кражу файлов cookie и паролей браузера, а также кражу ключей OpenSSH.

Известно, что TrickBot завершает атаку, предоставляя доступ к злоумышленникам, стоящим за вымогателями Ryuk и Conti, что еще больше усугубляет ситуацию.

В TrickBot v100 добавлены новые функции

После того, как в прошлом месяце Microsoft и их партнеры провели скоординированную атаку на инфраструктуру TrickBot, появилась надежда, что им потребуется время, чтобы восстановиться.

К сожалению, TrickBot все еще не утихает, о чем свидетельствует выпуск сотой сборки вредоносного ПО TrickBot.

Эта последняя сборка была обнаружена Виталием Кремезом из Advanced Intel, который обнаружил, что они добавили новые функции, которые затрудняют обнаружение.

В этом выпуске TrickBot теперь внедряет свою DLL в легитимный исполняемый файл Windows wermgr.exe (Windows Problem Reporting) прямо из памяти с помощью кода из проекта MemoryModule.

«MemoryModule - это библиотека, которую можно использовать для полной загрузки DLL из памяти - без предварительного сохранения на диск», - поясняет страница проекта на GitHub.

Первоначально запущенный как исполняемый файл, TrickBot внедрится в wermgr.exe, а затем завершит работу исходного исполняемого файла TrickBot.

По словам Кремеза, при внедрении DLL она будет делать это с помощью Doppel Hollowing или обработки двойного соединения, чтобы избежать обнаружения программным обеспечением безопасности.

«Этот метод использует транзакции, функцию NTFS, которая позволяет сгруппировать набор действий в файловой системе, и если какое-либо из этих действий не удается, происходит полный откат. Процесс инжектора создает новую транзакцию, внутри которой он создает новый файл, содержащий вредоносную полезную нагрузку. Затем он сопоставляет файл внутри целевого процесса и, наконец, откатывает транзакцию. Таким образом, создается впечатление, что файл никогда не существовал, даже если его содержимое все еще находится в памяти процесса, "Описание этого метода, сделанное исследователем безопасности Франческо Мурони.

Как видите, кибергруппа TrickBot не позволила нарушению своей инфраструктуры сдерживать их, и они продолжают интегрировать новые функции, чтобы предотвратить обнаружение вредоносного ПО.

К сожалению, это означает, что TrickBot останется с нами в обозримом будущем, а потребителям и предприятиям необходимо внимательно следить за тем, какие вложения электронной почты они открывают.

https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано ноября 2020 PM
    Completely dismantling TrickBot has proven more than difficult, and similar operations in the past against popular Trojans has proven that the cybercriminal community will always push to bring back into operation something that’s profitable, versatile and popular. TrickBot might have suffered a serious blow, but its operators seem to be scrambling to bring it back, potentially more resilient and difficult to extirpate than ever before.

    https://labs.bitdefender.com/2020/11/trickbot-is-dead-long-live-trickbot/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано ноября 2020 PM
    TrickBot использует обфусцированный пакетный скрипт Windows, чтобы избежать обнаружения

    В 100-м выпуске TrickBot вредоносная программа получила новые расширенные возможности уклонения. Одна из таких возможностей - использование запутанного средства запуска пакетных сценариев для быстрого запуска вредоносных исполняемых файлов.

    Тот факт, что для пакетных сценариев не нужен интерпретатор, кроме встроенной командной строки Microsoft Windows, делает этот метод обхода самодостаточным и минималистичным

    На выходных Лоуренс Абрамс из BleepingComputer проанализировал сотую сборку TrickBot и ее новые функции.

    TrickBot - это вредоносное ПО, которое обычно устанавливается через вредоносные фишинговые сообщения электронной почты или другое вредоносное ПО. После установки TrickBot будет незаметно работать на компьютере жертвы, пока он загружает другие модули для выполнения различных задач.

    Известно, что TrickBot завершает атаку, предоставляя доступ злоумышленникам, которые развертывают программы-вымогатели Ryuk или Conti в скомпрометированной сети.

    В нашем анализе BleepingComputer обнаружил, что BAT-скрипт launcher.bat запускается запланированной задачей, установленной TrickBot.

    Как Launcher.bat, так и исполняемый файл, который он запускает, находятся в одном каталоге, по данным BleepingComputer, расположение которого выглядит так:

    C: \ Users \ (имя пользователя) \ AppData \ Roaming \ IdentitiesXXXXXXXXXX \

    Тем не менее, использование обфусцированного пакетного сценария, показанного ниже, для запуска исполняемого файла, вероятно, является еще одной особенностью, которую не видят продукты корпоративной безопасности.

    Недавно был обнаружен еще один образец TrickBot, в котором использовался аналогичный пакетный скрипт с более чем 40 строками обфусцированного кода.

    При расшифровке весь код запускал вредоносную программу, действие, которое могло быть вызвано всего одной строкой кода:

    запустите C: \ Users \ ██████████ \ AppData \ Roaming \ Identities1603031315 \ ulib8b4.exe

    Рассматриваемый двоичный файл, ulib8b4.exe, представляет собой полезную нагрузку TrickBot, которая выполняет широкий спектр вредоносных действий, включая кражу базы данных служб Active Directory домена, распространение по сети, блокировку экрана, кражу файлов cookie и паролей браузера, а также кражу ключей OpenSSH.

    «Системные администраторы часто используют пакетные сценарии, чтобы облегчить себе жизнь и ускорить рабочий процесс», - говорит Джон Хаммонд, старший исследователь безопасности в Huntress Labs.

    «Но поскольку это обеспечивает отличный доступ к компьютерной системе, злоумышленники и семейства вредоносных программ также используют файлы .bat».

    Хаммонд отмечает, что, хотя антивирусные продукты могут легко сканировать текстовые пакетные сценарии, тот факт, что злоумышленник прошел несколько шагов, чтобы обфусцировать простую однострочную команду, сделает практически невозможным получение стандартного EDR или на основе сигнатур антивирусный продукт для обнаружения таких образцов.

    https://www.bleepingcomputer.com/news/security/trickbot-malware-uses-obfuscated-windows-batch-script-to-evade-detection/

    https://blog.huntresslabs.com/tried-and-true-hacker-technique-dos-obfuscation-400b57cd7dd
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано февраля 2021 PM
    Вредоносное ПО Trickbot выполняет поиск жертв в сети с помощью Masscan

    Вредоносное ПО Trickbot было обновлено модулем сетевой разведки, предназначенным для исследования локальных сетей после заражения компьютера жертвы.

    Этот новый модуль, получивший название masrv, использует инструмент masscan с открытым исходным кодом, массовый сканер портов с собственным стеком TCP / IP и способный сканировать большие участки Интернета за считанные минуты.

    Trickbot использует модуль сетевого сканера для отображения жертв в сети и отправки домашней информации на любые устройства с открытыми портами.

    Модуль развертывается в виде файла DLL Windows с 32-битной или 64-битной архитектурой в зависимости от системы, которую заразило вредоносное ПО.

    «Обе библиотеки DLL, которые мы наблюдали, представляют собой отладочные сборки и регистрируют их выполнение в стандартном выводе», - говорится в отчете Kryptos Logic Vantage Team, опубликованном в понедельник.

    Вся информация о сетевых устройствах с открытыми портами пересылается на командный сервер вредоносного ПО, чтобы операторы вредоносного ПО могли решить, стоит ли добавлять обнаруженные машины в ботнет.

    кибергруппа TrickBot ранее выпустила автономный инструмент разведки, известный как LightBot, в форме сценария PowerShell, используемого для обнаружения в сети зараженной жертвы важных целей.

    «Этот новый модуль свидетельствует о том, что субъект продолжает вкладывать средства в совершенствование своего инструментария сетевой разведки даже после недавних попыток сбоя», - добавили исследователи Kryptos Logic.

    Trickbot особенно опасен для предприятий, поскольку он распространяется по корпоративным сетям и, если он получит административный доступ к контроллеру домена, он украдет базу данных Active Directory, чтобы собрать больше сетевых учетных данных.

    В прошлом месяце разработчики Trickbot добавили еще один новый модуль, предназначенный для проверки зараженных устройств на наличие уязвимостей UEFI, что даст зловреду полный контроль над скомпрометированными машинами.

    Имея доступ к прошивке UEFI, Trickbot сможет установить постоянство, которое невозможно удалить даже после переустановки операционной системы или замены накопителей.

    https://www.bleepingcomputer.com/news/security/trickbot-malware-now-maps-victims-networks-using-masscan/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано февраля 2021 PM
    Вредоносная программа TrickBot BazarBackdoor теперь закодирована в Nim, чтобы обходить антивирус

    Скрытая вредоносная программа BazarBackdoor от TrickBot была переписана на языке программирования Nim, чтобы избежать обнаружения программным обеспечением безопасности.

    кибергруппа TrickBot все активнее распространяет свои новые и скрытые вредоносные программы BazarBackdoor через спам-кампании. После заражения компьютера BazarBackdoor используется для предоставления злоумышленникам удаленного доступа к компьютеру для распространения по сети.

    На прошлой неделе компания Intezer, занимающаяся кибербезопасностью, и Виталий Кремез из Advanced Intel проанализировали новый образец BazarBackdoor и обнаружили, что группа TrickBot перенесла его на язык программирования Nim.

    Согласно веб-сайту языка программирования, Nim черпает вдохновение из Python, Ada и Modula и может создавать исполняемые файлы, поддерживаемые в Windows, macOS и Linux.

    «Nim - один из немногих программируемых языков со статической типизацией, который сочетает в себе скорость и эффективность использования памяти C, выразительный синтаксис, безопасность памяти и несколько целевых языков». говорится на веб-сайте Nim.

    Поскольку вредоносное ПО, разработанное с использованием Nim, встречается редко, Кремез считает, что группа TrickBot перенесла BazarBackdoor на Nim, чтобы обойти обнаружение антивирусным ПО.

    «Компонент бэкдора, способный выполнять команды, написан на языке программирования NIM, чтобы избежать обнаружения антивирусами. Преступная группа, вероятно, решила продолжить разработку облегченного вредоносного ПО в Nim, чтобы помешать антивирусу и механизму обнаружения, ориентированному на традиционные двоичные файлы, скомпилированные в Языки стиля C / C ++ ".

    "Не так давно Golang стал еще одним предпочтительным языком для некоторых семейств вредоносных программ, включая программы-вымогатели RobbinHood, в основном из-за того, что многие антивирусные продукты не могут обрабатывать и характеризовать нетрадиционные двоичные файлы как вредоносные из-за уникального раздела и двоичного содержимого, представленного «Ним и подобные экзотические языки», - сказал BleepingComputer генеральный директор Advanced Intel Виталий Кремез.

    Другое вредоносное ПО, разработанное в Nim, - это семейство программ-вымогателей под названием XCry [VirusTotal], обнаруженное командой MalwareHunterTeam в 2019 году.

    Совсем недавно программа-вымогатель DeroHE с кодом Nim [VirusTotal] была использована для атаки на пользователей форума IObit.

    Nim - не единственный необычный язык, который недавно использовался для создания вредоносных программ. В прошлом месяце Кремез обнаружил, что новый вымогатель Vovalex был написан на языке программирования D.

    https://www.bleepingcomputer.com/news/security/trickbots-bazarbackdoor-malware-is-now-coded-in-nim-to-evade-antivirus/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Trickbot обновляет свой модуль VNC для особо ценных целей

    Вредоносная программа для ботнета Trickbot, которая часто распространяет различные штаммы программ-вымогателей, продолжает оставаться самой распространенной угрозой, поскольку ее разработчики обновляют модуль VNC, используемый для удаленного управления зараженными системами.

    Его активность постоянно растет после полного прекращения работы ботнета Emotet в январе, который выступал в качестве дистрибьютора как Trickbot, так и других известных злоумышленников.

    Наиболее распространенная угроза

    Trickbot существует уже почти полдесятилетия и превратился из банковского трояна в одну из крупнейших сегодня ботнетов, которая продает доступ различным злоумышленникам.

    Некоторые из операций вымогателей, использующих этот ботнет для доступа к сети, включают печально известные Ryuk, Conti, REvil, а также новый под названием Diavol, румынский для Devil.

    После того, как Emotet был убит правоохранительными органами, активность Trickbot начала возрастать до такого уровня, что в мае он стал самым распространенным вредоносным ПО на радаре Check Point.

    Вредоносная программа сохранила свои позиции и в этом месяце, отмечает компания, занимающаяся кибербезопасностью, в сегодняшнем отчете, добавляя, что специалисты по сопровождению Trickbot постоянно работают над ее улучшением.

    Согласно данным телеметрии Check Point, Trickbot затронул 7% организаций по всему миру, за ним следует майнер криптовалюты XMRig и программа для кражи информации Formbook, которая затронула 3% организаций, которые Check Point отслеживает по всему миру.

    Новый модуль VNC в разработке

    В другом отчете румынская компания по кибербезопасности Bitdefender сообщает, что ее системы перехватили новую версию модуля VNC Trickbot (vncDLL), которая использовалась после взлома высокопоставленных целей.

    Обновленный модуль называется tvncDLL и позволяет злоумышленнику отслеживать жертву и собирать информацию, которая позволит переключаться на важные системы в сети.

    Хотя tvncDLL была обнаружена 12 мая, румынские исследователи говорят, что она все еще находится в стадии разработки, «поскольку у группы есть частый график обновлений, регулярно добавляющих новые функции и исправления ошибок».

    Анализ модуля Bitdefender показывает, что он использует настраиваемый протокол связи и достигает сервера управления и контроля (C2) через один из девяти IP-адресов прокси, которые обеспечивают доступ к жертвам за брандмауэрами.

    Компонент VNC может останавливать Trickbot и выгружать его из памяти. Когда оператор инициирует связь, модуль создает виртуальный рабочий стол с настраиваемым интерфейсом.

    Данные телеметрии из данных Bitdefender показывают, что серверы Trickbot C2 расположены почти на всех континентах, при этом наибольшее количество (54) находится в Северной Америке. По словам компании, количество серверов C2 в этом году значительно увеличилось: с 40 в январе до более 140 в июне.

    https://www.bleepingcomputer.com/news/security/trickbot-updates-its-vnc-module-for-high-value-targets/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • TrickBot теперь вызывает сбой браузеров исследователей, чтобы заблокировать анализ вредоносного ПО

    Печально известная вредоносная программа TrickBot получила новые функции, которые усложняют ее исследование, анализ и обнаружение в последних вариантах, включая сбой вкладок браузера при обнаружении украшенных скриптов.

    TrickBot доминирует на рынке вредоносных программ с 2016 года, постоянно добавляя оптимизации и улучшения, а также способствуя развертыванию вредоносных программ и программ-вымогателей.

    Поскольку TrickBot является модульным, злоумышленники могут развертывать модули, которые выполняют широкий спектр вредоносных действий, включая атаки «человек в браузере» для кражи учетных данных онлайн-банкинга, кражу баз данных Active Directory, распространение по сети, кражу данных, и больше.

    Помимо того, что TrickBot является банковским трояном, он также используется для развертывания других полезных нагрузок благодаря своей незаметности и эффективности.

    Совсем недавно он был связан с группой вымогателей Diavol, кибегруппой Conti и даже с возрождением Emotet.

    Исследователи из IBM Trusteer проанализировали последние образцы, чтобы увидеть, какие новые функции антианализа недавно были введены авторами, и представили некоторые интересные результаты в своем отчете.

    Исследователи не приветствуются

    Во-первых, разработчики TrickBot используют ряд уровней обфускации и кодирования base64 для сценариев, включая минимизацию, извлечение и замену строк, числовую базу и представление, внедрение мертвого кода и исправление обезьян.

    В мире вредоносных программ ожидается обфускация, но TrickBot имеет много уровней и избыточных частей, что делает анализ медленным, громоздким и часто дает неубедительные результаты.

    Во-вторых, при внедрении вредоносных сценариев на веб-страницы для кражи учетных данных инъекции не задействуют локальные ресурсы, а полагаются исключительно на серверы субъектов. Таким образом, аналитики не могут извлекать образцы из памяти зараженных машин.

    TrickBot взаимодействует с сервером управления и контроля (C2) по протоколу HTTPS, который поддерживает зашифрованный обмен данными.

    Кроме того, запросы на инъекции включают параметры, которые помечают неизвестные источники, поэтому аналитики не могут получать образцы из C2 с помощью незарегистрированной конечной точки.

    Собрав отпечаток устройства, операторы TrickBot могут внедрить собственный скрипт в браузер каждой жертвы, ориентируясь на конкретный банк и убеждая его систему, что он взаимодействует с реальным клиентом.

    Наконец, TrickBot включает в себя сценарий защиты от отладки в коде JS, который помогает ему предвидеть, когда он анализируется, и запускает перегрузку памяти, которая приводит к сбою страницы.

    Раньше TrickBot пытался определить, анализируется ли он, проверяя разрешение экрана хоста, но теперь он также ищет признаки «улучшения кода».

    Улучшение кода — это преобразование запутанного кода или развернутого текста в контент, который легче читается человеческим глазом и, следовательно, в нем легче идентифицировать интересный код.

    В последних версиях TrickBot используются регулярные выражения, чтобы определить, когда один из внедряемых им скриптов был изменен, что обычно указывает на то, что исследователь безопасности анализирует его.

    При обнаружении измененного кода TrickBot теперь вызывает сбой браузера, чтобы предотвратить дальнейший анализ внедренного скрипта.

    «TrickBot использует RegEx для обнаружения улучшенной настройки и запускает себя в цикл, который увеличивает размер динамического массива на каждой итерации. После нескольких раундов память в конечном итоге перегружается, и браузер дает сбой», — объясняют исследователи IBM Trusteer в новом блоге.

    Как оставаться в безопасности

    TrickBot обычно попадает в целевую систему через фишинговые электронные письма, содержащие вредоносное вложение, выполняющее макросы для загрузки и установки вредоносных программ.

    Помимо осторожного отношения к входящим электронным письмам, также рекомендуется включить многофакторную аутентификацию для всех ваших учетных записей и регулярно отслеживать журналы входа, где это возможно.

    Поскольку многие заражения TrickBot заканчиваются атаками программ-вымогателей, соблюдение правил сегментации сети и регулярное расписание резервного копирования в автономном режиме также имеют жизненно важное значение для сдерживания потенциальных угроз.

    https://www.bleepingcomputer.com/news/security/trickbot-now-crashes-researchers-browsers-to-block-malware-analysis/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 26 фев PM
    Работа вредоносного ПО TrickBot прекращена, разработчики переходят на BazarBackdoor

    Работа вредоносное ПО TrickBot была прекращена после того, как его основные разработчики перешли в кибергруппу Conti, чтобы сосредоточить разработку на скрытых семействах вредоносных программ BazarBackdoor и Anchor.

    TrickBot — печально известная вредоносная программа для Windows, которая доминирует в мире угроз с 2016 года.

    Вредоносная программа обычно устанавливается с помощью вредоносных фишинговых писем или других вредоносных программ и будет спокойно работать на компьютере жертвы, пока загружает модули для выполнения различных задач.

    Эти модули выполняют широкий спектр вредоносных действий, включая кражу базы данных доменных служб Active Directory, боковое распространение по сети, блокировку экрана, кражу файлов cookie и паролей браузера, а также кражу ключей OpenSSH.

    TrickBot также имеет давние отношения с операторами Ransomware, которые сотрудничали с группой TrickBot, чтобы получить первоначальный доступ к сетям, зараженным вредоносным ПО.

    В 2019 году TrickBot Group заключила партнерское соглашение с Ryuk, чтобы предоставить первоначальный доступ к сетям. В 2020 году группа Conti, которая, как считается, является ребрендингом Ryuk, также стала партнером TrickBot для первоначального доступа.

    В 2021 году TrickBot попыталась запустить собственную операцию под названием Diavol, которая так и не набрала обороты, возможно, из-за того, что один из ее разработчиков был арестован.

    Несмотря на многочисленные попытки взлома со стороны правоохранительных органов, TrickBot успешно восстановил свой ботнет и продолжил работу.

    Так было до декабря 2021 года, когда кампании по распространению TrickBot внезапно прекратились.

    Работа TrickBot останавливается

    За последний год Conti стала одной из самых устойчивых и прибыльных операций шифраторов, ответственной за многочисленные атаки на высокопоставленных жертв и собирающую сотни миллионов долларов в виде выкупа.

    Как сообщал BleepingComputer на прошлой неделе, благодаря огромному богатству и капиталу в их распоряжении, а также тому, что TrickBot в основном использовался Conti, банда вымогателей постепенно взяла под свой контроль операцию.

    Однако Conti наняла этих «элитных разработчиков и менеджеров» не для работы над вредоносным ПО TrickBot, а скорее для работы над более скрытными семействами вредоносных программ BazarBackdoor и Anchor.

    На прошлой неделе компания AdvIntel объяснила, что сдвиг в развитии связан с тем, что вредоносное ПО TrickBot слишком легко обнаруживается программным обеспечением безопасности, и что в ближайшее время эта операция будет прекращена.

    Вчера генеральный директор AdvIntel Виталий Кремез сообщил, что группа TrickBot закрыла всю инфраструктуру для работы вредоносного ПО TrickBot.

    Кремез объяснил, что с этим закрытием TrickBot, которая изначально была создана для преследования мошенничества, теперь почти полностью сосредоточена на программах-вымогателях и взломе сетей.

    Отчет, опубликованный вчера компанией Intel471, занимающейся киберразведкой, также подтвердил, что операция прекращается в пользу более прибыльных платформ.

    Хотя всегда приятно видеть прекращение работы вредоносных программ, реальность такова, что операторы Ransomware уже перешли на более скрытное семейство BazarBackdoor.

    https://www.bleepingcomputer.com/news/security/trickbot-malware-operation-shuts-down-devs-move-to-bazarbackdoor/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.