Lazarus и TrickBot слились в экстазе взаимной выгоды

Опубликовано at 21:57
224 0

Легендарные северокорейские кибербойцы продолжают обновлять арсенал.

C недавних пор Lazarus покупают доступ к зараженным системам у операторов TrickBot, а также используют новый модуль TrickBot, получивший название Anchor.

TrickBot входит в тройку наиболее крупных ботнетов, наряду с Emotet и Dridex. Его операторы охотно продают доступ к зараженным системам другим преступникам, от вымогателей и спамеров, до серьезных, поддерживаемых государствами хак-групп. Арендаторы могут использовать TrickBot для установки собственной малвари или могут воспользоваться доступными модулями трояна, в зависимости от своих целей.

В июле мы рассказывали про усовершенствование банковского трояна TrickBot: теперь он в реальном времени отключает Защитник Windows, для чего использует по ситуации одну из 13 (!) отмычек. Ранее АКБ сообщало, что очередная версия TrickBot начала собирать учетные данные электронной почты и контактов из ящиков жертвы, а также рассылать вредоносный спам с ее адреса. С 2016 года вредонос претерпел кардинальные преобразования: изначально он был нацелен только на кражу финансовых данных, к 2018 году список мишеней TrickBot пополнился криптобиржами, а более современные версии зловреда умеют воровать учетные данные к службам удаленного доступа.

В ноябре 2019 года киберпреступники начали маскировать свои атаки под уведомления от Комиссии США по соблюдению равноправия при трудоустройстве (EEOC). Благодаря обвинениям в сексуальном домогательстве злоумышленникам удаётся заразить компьютеры сотрудников компаний банковским трояном TrickBot.

SentinelOne описывает Anchor как «набор инструментов», объединенных в новую разновидность малвари, а также как «универсальную инфраструктуру атак, разработанную для атак на корпоративные среды».

Модуль предназначен для атак, нацеленных на крупные компании и другие важные цели, в ходе которых злоумышленникам необходимо оставаться незамеченными в течение нескольких недель или даже месяцев, пока они крадут данные и даже после завершения операции.

Группа Lazarus, судя по всему, арендовала доступ к зараженной системе через ботнет TrickBot, а затем использовала Anchor для установки PowerRatankba, PowerShell-бэкдора, в сети неназванной скомпрометированной компании.

Начиная с октября 2019 года модуль использовался в ряде направленных кампаний против финансового, производственного и розничного бизнеса. Сообщается, что волна атак была нацелена ​​на кражу конфиденциальной информации из систем POS и других конфиденциальных данных в сетях жертв.

Читайте также на АКБ:

Игра киберпрестолов XXIII: северокорейцы Lazarus обносят индийские банки

Подписываемся, следим @CyberAgency

Related Post