TrickBot: выпущено обновление вредоносного ПО с новыми функциями

отредактировано 11 фев Раздел: Вирусы & Антивирусы
Киберпреступная группа TrickBot выпустила сотую версию (v100) вредоносного ПО TrickBot с дополнительными функциями, позволяющими избежать обнаружения.

TrickBot-Logo.png


TrickBot - это вредоносное ПО, которое обычно устанавливается через вредоносные фишинговые сообщения электронной почты или другое вредоносное ПО. После установки TrickBot будет незаметно работать на компьютере жертвы, пока он загружает другие модули для выполнения различных задач.

Эти модули выполняют широкий спектр злонамеренных действий, включая кражу базы данных служб Active Directory домена, распространение в сети, блокировку экрана, кражу файлов cookie и паролей браузера, а также кражу ключей OpenSSH.

Известно, что TrickBot завершает атаку, предоставляя доступ к злоумышленникам, стоящим за вымогателями Ryuk и Conti, что еще больше усугубляет ситуацию.

В TrickBot v100 добавлены новые функции

После того, как в прошлом месяце Microsoft и их партнеры провели скоординированную атаку на инфраструктуру TrickBot, появилась надежда, что им потребуется время, чтобы восстановиться.

К сожалению, TrickBot все еще не утихает, о чем свидетельствует выпуск сотой сборки вредоносного ПО TrickBot.

Эта последняя сборка была обнаружена Виталием Кремезом из Advanced Intel, который обнаружил, что они добавили новые функции, которые затрудняют обнаружение.

В этом выпуске TrickBot теперь внедряет свою DLL в легитимный исполняемый файл Windows wermgr.exe (Windows Problem Reporting) прямо из памяти с помощью кода из проекта MemoryModule.

«MemoryModule - это библиотека, которую можно использовать для полной загрузки DLL из памяти - без предварительного сохранения на диск», - поясняет страница проекта на GitHub.

Первоначально запущенный как исполняемый файл, TrickBot внедрится в wermgr.exe, а затем завершит работу исходного исполняемого файла TrickBot.

По словам Кремеза, при внедрении DLL она будет делать это с помощью Doppel Hollowing или обработки двойного соединения, чтобы избежать обнаружения программным обеспечением безопасности.

«Этот метод использует транзакции, функцию NTFS, которая позволяет сгруппировать набор действий в файловой системе, и если какое-либо из этих действий не удается, происходит полный откат. Процесс инжектора создает новую транзакцию, внутри которой он создает новый файл, содержащий вредоносную полезную нагрузку. Затем он сопоставляет файл внутри целевого процесса и, наконец, откатывает транзакцию. Таким образом, создается впечатление, что файл никогда не существовал, даже если его содержимое все еще находится в памяти процесса, "Описание этого метода, сделанное исследователем безопасности Франческо Мурони.

Как видите, кибергруппа TrickBot не позволила нарушению своей инфраструктуры сдерживать их, и они продолжают интегрировать новые функции, чтобы предотвратить обнаружение вредоносного ПО.

К сожалению, это означает, что TrickBot останется с нами в обозримом будущем, а потребителям и предприятиям необходимо внимательно следить за тем, какие вложения электронной почты они открывают.

https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано ноября 2020 PM
    Completely dismantling TrickBot has proven more than difficult, and similar operations in the past against popular Trojans has proven that the cybercriminal community will always push to bring back into operation something that’s profitable, versatile and popular. TrickBot might have suffered a serious blow, but its operators seem to be scrambling to bring it back, potentially more resilient and difficult to extirpate than ever before.

    https://labs.bitdefender.com/2020/11/trickbot-is-dead-long-live-trickbot/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано ноября 2020 PM
    TrickBot использует обфусцированный пакетный скрипт Windows, чтобы избежать обнаружения

    В 100-м выпуске TrickBot вредоносная программа получила новые расширенные возможности уклонения. Одна из таких возможностей - использование запутанного средства запуска пакетных сценариев для быстрого запуска вредоносных исполняемых файлов.

    Тот факт, что для пакетных сценариев не нужен интерпретатор, кроме встроенной командной строки Microsoft Windows, делает этот метод обхода самодостаточным и минималистичным

    На выходных Лоуренс Абрамс из BleepingComputer проанализировал сотую сборку TrickBot и ее новые функции.

    TrickBot - это вредоносное ПО, которое обычно устанавливается через вредоносные фишинговые сообщения электронной почты или другое вредоносное ПО. После установки TrickBot будет незаметно работать на компьютере жертвы, пока он загружает другие модули для выполнения различных задач.

    Известно, что TrickBot завершает атаку, предоставляя доступ злоумышленникам, которые развертывают программы-вымогатели Ryuk или Conti в скомпрометированной сети.

    В нашем анализе BleepingComputer обнаружил, что BAT-скрипт launcher.bat запускается запланированной задачей, установленной TrickBot.

    Как Launcher.bat, так и исполняемый файл, который он запускает, находятся в одном каталоге, по данным BleepingComputer, расположение которого выглядит так:

    C: \ Users \ (имя пользователя) \ AppData \ Roaming \ IdentitiesXXXXXXXXXX \

    Тем не менее, использование обфусцированного пакетного сценария, показанного ниже, для запуска исполняемого файла, вероятно, является еще одной особенностью, которую не видят продукты корпоративной безопасности.

    Недавно был обнаружен еще один образец TrickBot, в котором использовался аналогичный пакетный скрипт с более чем 40 строками обфусцированного кода.

    При расшифровке весь код запускал вредоносную программу, действие, которое могло быть вызвано всего одной строкой кода:

    запустите C: \ Users \ ██████████ \ AppData \ Roaming \ Identities1603031315 \ ulib8b4.exe

    Рассматриваемый двоичный файл, ulib8b4.exe, представляет собой полезную нагрузку TrickBot, которая выполняет широкий спектр вредоносных действий, включая кражу базы данных служб Active Directory домена, распространение по сети, блокировку экрана, кражу файлов cookie и паролей браузера, а также кражу ключей OpenSSH.

    «Системные администраторы часто используют пакетные сценарии, чтобы облегчить себе жизнь и ускорить рабочий процесс», - говорит Джон Хаммонд, старший исследователь безопасности в Huntress Labs.

    «Но поскольку это обеспечивает отличный доступ к компьютерной системе, злоумышленники и семейства вредоносных программ также используют файлы .bat».

    Хаммонд отмечает, что, хотя антивирусные продукты могут легко сканировать текстовые пакетные сценарии, тот факт, что злоумышленник прошел несколько шагов, чтобы обфусцировать простую однострочную команду, сделает практически невозможным получение стандартного EDR или на основе сигнатур антивирусный продукт для обнаружения таких образцов.

    https://www.bleepingcomputer.com/news/security/trickbot-malware-uses-obfuscated-windows-batch-script-to-evade-detection/

    https://blog.huntresslabs.com/tried-and-true-hacker-technique-dos-obfuscation-400b57cd7dd
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 4 фев PM
    Вредоносное ПО Trickbot выполняет поиск жертв в сети с помощью Masscan

    Вредоносное ПО Trickbot было обновлено модулем сетевой разведки, предназначенным для исследования локальных сетей после заражения компьютера жертвы.

    Этот новый модуль, получивший название masrv, использует инструмент masscan с открытым исходным кодом, массовый сканер портов с собственным стеком TCP / IP и способный сканировать большие участки Интернета за считанные минуты.

    Trickbot использует модуль сетевого сканера для отображения жертв в сети и отправки домашней информации на любые устройства с открытыми портами.

    Модуль развертывается в виде файла DLL Windows с 32-битной или 64-битной архитектурой в зависимости от системы, которую заразило вредоносное ПО.

    «Обе библиотеки DLL, которые мы наблюдали, представляют собой отладочные сборки и регистрируют их выполнение в стандартном выводе», - говорится в отчете Kryptos Logic Vantage Team, опубликованном в понедельник.

    Вся информация о сетевых устройствах с открытыми портами пересылается на командный сервер вредоносного ПО, чтобы операторы вредоносного ПО могли решить, стоит ли добавлять обнаруженные машины в ботнет.

    кибергруппа TrickBot ранее выпустила автономный инструмент разведки, известный как LightBot, в форме сценария PowerShell, используемого для обнаружения в сети зараженной жертвы важных целей.

    «Этот новый модуль свидетельствует о том, что субъект продолжает вкладывать средства в совершенствование своего инструментария сетевой разведки даже после недавних попыток сбоя», - добавили исследователи Kryptos Logic.

    Trickbot особенно опасен для предприятий, поскольку он распространяется по корпоративным сетям и, если он получит административный доступ к контроллеру домена, он украдет базу данных Active Directory, чтобы собрать больше сетевых учетных данных.

    В прошлом месяце разработчики Trickbot добавили еще один новый модуль, предназначенный для проверки зараженных устройств на наличие уязвимостей UEFI, что даст зловреду полный контроль над скомпрометированными машинами.

    Имея доступ к прошивке UEFI, Trickbot сможет установить постоянство, которое невозможно удалить даже после переустановки операционной системы или замены накопителей.

    https://www.bleepingcomputer.com/news/security/trickbot-malware-now-maps-victims-networks-using-masscan/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 11 фев PM
    Вредоносная программа TrickBot BazarBackdoor теперь закодирована в Nim, чтобы обходить антивирус

    Скрытая вредоносная программа BazarBackdoor от TrickBot была переписана на языке программирования Nim, чтобы избежать обнаружения программным обеспечением безопасности.

    кибергруппа TrickBot все активнее распространяет свои новые и скрытые вредоносные программы BazarBackdoor через спам-кампании. После заражения компьютера BazarBackdoor используется для предоставления злоумышленникам удаленного доступа к компьютеру для распространения по сети.

    На прошлой неделе компания Intezer, занимающаяся кибербезопасностью, и Виталий Кремез из Advanced Intel проанализировали новый образец BazarBackdoor и обнаружили, что группа TrickBot перенесла его на язык программирования Nim.

    Согласно веб-сайту языка программирования, Nim черпает вдохновение из Python, Ada и Modula и может создавать исполняемые файлы, поддерживаемые в Windows, macOS и Linux.

    «Nim - один из немногих программируемых языков со статической типизацией, который сочетает в себе скорость и эффективность использования памяти C, выразительный синтаксис, безопасность памяти и несколько целевых языков». говорится на веб-сайте Nim.

    Поскольку вредоносное ПО, разработанное с использованием Nim, встречается редко, Кремез считает, что группа TrickBot перенесла BazarBackdoor на Nim, чтобы обойти обнаружение антивирусным ПО.

    «Компонент бэкдора, способный выполнять команды, написан на языке программирования NIM, чтобы избежать обнаружения антивирусами. Преступная группа, вероятно, решила продолжить разработку облегченного вредоносного ПО в Nim, чтобы помешать антивирусу и механизму обнаружения, ориентированному на традиционные двоичные файлы, скомпилированные в Языки стиля C / C ++ ".

    "Не так давно Golang стал еще одним предпочтительным языком для некоторых семейств вредоносных программ, включая программы-вымогатели RobbinHood, в основном из-за того, что многие антивирусные продукты не могут обрабатывать и характеризовать нетрадиционные двоичные файлы как вредоносные из-за уникального раздела и двоичного содержимого, представленного «Ним и подобные экзотические языки», - сказал BleepingComputer генеральный директор Advanced Intel Виталий Кремез.

    Другое вредоносное ПО, разработанное в Nim, - это семейство программ-вымогателей под названием XCry [VirusTotal], обнаруженное командой MalwareHunterTeam в 2019 году.

    Совсем недавно программа-вымогатель DeroHE с кодом Nim [VirusTotal] была использована для атаки на пользователей форума IObit.

    Nim - не единственный необычный язык, который недавно использовался для создания вредоносных программ. В прошлом месяце Кремез обнаружил, что новый вымогатель Vovalex был написан на языке программирования D.

    https://www.bleepingcomputer.com/news/security/trickbots-bazarbackdoor-malware-is-now-coded-in-nim-to-evade-antivirus/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Trickbot обновляет свой модуль VNC для особо ценных целей

    Вредоносная программа для ботнета Trickbot, которая часто распространяет различные штаммы программ-вымогателей, продолжает оставаться самой распространенной угрозой, поскольку ее разработчики обновляют модуль VNC, используемый для удаленного управления зараженными системами.

    Его активность постоянно растет после полного прекращения работы ботнета Emotet в январе, который выступал в качестве дистрибьютора как Trickbot, так и других известных злоумышленников.

    Наиболее распространенная угроза

    Trickbot существует уже почти полдесятилетия и превратился из банковского трояна в одну из крупнейших сегодня ботнетов, которая продает доступ различным злоумышленникам.

    Некоторые из операций вымогателей, использующих этот ботнет для доступа к сети, включают печально известные Ryuk, Conti, REvil, а также новый под названием Diavol, румынский для Devil.

    После того, как Emotet был убит правоохранительными органами, активность Trickbot начала возрастать до такого уровня, что в мае он стал самым распространенным вредоносным ПО на радаре Check Point.

    Вредоносная программа сохранила свои позиции и в этом месяце, отмечает компания, занимающаяся кибербезопасностью, в сегодняшнем отчете, добавляя, что специалисты по сопровождению Trickbot постоянно работают над ее улучшением.

    Согласно данным телеметрии Check Point, Trickbot затронул 7% организаций по всему миру, за ним следует майнер криптовалюты XMRig и программа для кражи информации Formbook, которая затронула 3% организаций, которые Check Point отслеживает по всему миру.

    Новый модуль VNC в разработке

    В другом отчете румынская компания по кибербезопасности Bitdefender сообщает, что ее системы перехватили новую версию модуля VNC Trickbot (vncDLL), которая использовалась после взлома высокопоставленных целей.

    Обновленный модуль называется tvncDLL и позволяет злоумышленнику отслеживать жертву и собирать информацию, которая позволит переключаться на важные системы в сети.

    Хотя tvncDLL была обнаружена 12 мая, румынские исследователи говорят, что она все еще находится в стадии разработки, «поскольку у группы есть частый график обновлений, регулярно добавляющих новые функции и исправления ошибок».

    Анализ модуля Bitdefender показывает, что он использует настраиваемый протокол связи и достигает сервера управления и контроля (C2) через один из девяти IP-адресов прокси, которые обеспечивают доступ к жертвам за брандмауэрами.

    Компонент VNC может останавливать Trickbot и выгружать его из памяти. Когда оператор инициирует связь, модуль создает виртуальный рабочий стол с настраиваемым интерфейсом.

    Данные телеметрии из данных Bitdefender показывают, что серверы Trickbot C2 расположены почти на всех континентах, при этом наибольшее количество (54) находится в Северной Америке. По словам компании, количество серверов C2 в этом году значительно увеличилось: с 40 в январе до более 140 в июне.

    https://www.bleepingcomputer.com/news/security/trickbot-updates-its-vnc-module-for-high-value-targets/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.