Những nỗ lực để phá vỡ TrickBot có thể có tắt hầu hết các cơ sở hạ tầng quan trọng của nó, nhưng các nhà khai thác đằng sau phần mềm độc hại khét tiếng không ngồi yên.
Theo phát hiện mới được chia sẻ bởi công ty an ninh mạng Netscout, Các tác giả của TrickBot đã chuyển các phần mã của họ sang Linux với nỗ lực mở rộng phạm vi nạn nhân có thể được nhắm mục tiêu.
TrickBot, một Trojan tài chính được phát hiện lần đầu tiên vào năm 2016, theo truyền thống là một giải pháp phần mềm tội phạm dựa trên Windows, sử dụng các mô-đun khác nhau để thực hiện một loạt các hoạt động độc hại trên các mạng mục tiêu, bao gồm cả hành vi trộm cắp thông tin xác thực và tiến hành các cuộc tấn công ransomware.
Nhưng trong vài tuần qua, nỗ lực song song do Bộ Chỉ huy Mạng Hoa Kỳ và Microsoft dẫn đầu đã giúp loại bỏ 94% máy chủ điều khiển và chỉ huy (C2) của TrickBot đang được sử dụng và cơ sở hạ tầng mới mà bọn tội phạm điều hành TrickBot đã cố gắng đưa lên mạng để thay thế các máy chủ đã bị vô hiệu hóa trước đó.
Bất chấp các bước thực hiện để cản trở TrickBot, Microsoft cảnh báo rằng các tác nhân đe dọa đằng sau mạng botnet có thể sẽ nỗ lực để khôi phục hoạt động của chúng.
Mô-đun neo của TrickBot
Vào cuối năm 2019, một khung backdoor TrickBot mới được gọi là Mỏ neo bị phát hiện sử dụng giao thức DNS để giao tiếp với máy chủ C2 một cách lén lút.
Mô-đun “cho phép các tác nhân – khách hàng tiềm năng của TrickBot – tận dụng khuôn khổ này để chống lại các nạn nhân có cấu hình cao hơn, cho biết SentinelOne, việc bổ sung “khả năng tích hợp liền mạch APT vào một mô hình kinh doanh kiếm tiền là bằng chứng về sự thay đổi lượng tử.”
Thật, IBM X-Force phát hiện các cuộc tấn công mạng mới vào đầu tháng 4 này tiết lộ sự hợp tác giữa FIN6 và nhóm TrickBot để triển khai khung Anchor chống lại các tổ chức vì lợi nhuận tài chính.
Biến thể, được đặt tên là “Anchor_DNS”, cho phép ứng dụng khách bị nhiễm sử dụng Đường hầm DNS để thiết lập liên lạc với máy chủ C2, máy chủ này sẽ truyền dữ liệu với các IP được phân giải dưới dạng phản hồi, các nhà nghiên cứu NTT nói trong một báo cáo năm 2019.
Nhưng một mẫu mới được nhà nghiên cứu Bảo mật Giai đoạn 2 Waylon Grange phát hiện vào tháng 7 cho thấy Anchor_DNS đã được chuyển sang phiên bản cửa hậu Linux mới có tên “Anchor_Linux. “
Grange nói: “Thường được phân phối dưới dạng một phần của mã zip, phần mềm độc hại này là một cửa hậu Linux nhẹ. “Sau khi thực thi, nó tự cài đặt như một công việc cron, xác định IP công cộng [address] cho máy chủ và sau đó bắt đầu báo hiệu thông qua truy vấn DNS tới máy chủ C2 của nó. “
Cách Giao tiếp C2 hoạt động bằng cách sử dụng Anchor
Nghiên cứu mới nhất của Netscout giải mã luồng giao tiếp này giữa bot và máy chủ C2. Trong giai đoạn thiết lập ban đầu, máy khách gửi “c2_command 0” đến máy chủ cùng với thông tin về hệ thống bị xâm phạm và ID bot, sau đó sẽ phản hồi lại bằng thông báo “signal / 1 /” cho bot.
Như một sự xác nhận, bot sẽ gửi lại cùng một thông báo tới C2, sau đó máy chủ đưa ra lệnh từ xa để thực thi trên máy khách. Trong bước cuối cùng, bot sẽ gửi lại kết quả thực hiện đến máy chủ C2.
Nhà nghiên cứu bảo mật Suweera De Souza của Netscout cho biết: “Mọi phần giao tiếp được thực hiện với C2 đều tuân theo một chuỗi 3 truy vấn DNS khác nhau.
Danh sách các bản ghi IP biểu thị dữ liệu tương ứng với tải trọng
Kết quả của truy vấn thứ ba là danh sách các địa chỉ IP sau đó được máy khách phân tích cú pháp để xây dựng tải trọng thực thi.
Phần dữ liệu cuối cùng được gửi bởi máy chủ C2 tương ứng với một loạt lệnh (được đánh số 0-14 trong Windows và 0-4, 10-12 và 100 trong Linux) để bot thực thi tải trọng qua cmd.exe hoặc bằng cách đưa nó vào nhiều tiến trình đang chạy như Windows File Explorer hoặc Notepad.
De Souza cho biết: “Sự phức tạp trong giao tiếp C2 của Anchor và tải trọng mà bot có thể thực thi phản ánh một phần khả năng đáng kể của các tác nhân Trickbot mà còn cả khả năng liên tục đổi mới của họ, bằng chứng là họ đã chuyển sang Linux”.
