Легендарные северокорейские кибербойцы продолжают обновлять арсенал.
C недавних пор Lazarus покупают доступ к зараженным системам у операторов TrickBot, а также используют новый модуль TrickBot, получивший название Anchor.
TrickBot входит в тройку наиболее крупных ботнетов, наряду с Emotet и Dridex. Его операторы охотно продают доступ к зараженным системам другим преступникам, от вымогателей и спамеров, до серьезных, поддерживаемых государствами хак-групп. Арендаторы могут использовать TrickBot для установки собственной малвари или могут воспользоваться доступными модулями трояна, в зависимости от своих целей.
В июле мы рассказывали про усовершенствование банковского трояна TrickBot: теперь он в реальном времени отключает Защитник Windows, для чего использует по ситуации одну из 13 (!) отмычек. Ранее АКБ сообщало, что очередная версия TrickBot начала собирать учетные данные электронной почты и контактов из ящиков жертвы, а также рассылать вредоносный спам с ее адреса. С 2016 года вредонос претерпел кардинальные преобразования: изначально он был нацелен только на кражу финансовых данных, к 2018 году список мишеней TrickBot пополнился криптобиржами, а более современные версии зловреда умеют воровать учетные данные к службам удаленного доступа.
В ноябре 2019 года киберпреступники начали маскировать свои атаки под уведомления от Комиссии США по соблюдению равноправия при трудоустройстве (EEOC). Благодаря обвинениям в сексуальном домогательстве злоумышленникам удаётся заразить компьютеры сотрудников компаний банковским трояном TrickBot.
SentinelOne описывает Anchor как «набор инструментов», объединенных в новую разновидность малвари, а также как «универсальную инфраструктуру атак, разработанную для атак на корпоративные среды».
Модуль предназначен для атак, нацеленных на крупные компании и другие важные цели, в ходе которых злоумышленникам необходимо оставаться незамеченными в течение нескольких недель или даже месяцев, пока они крадут данные и даже после завершения операции.
Группа Lazarus, судя по всему, арендовала доступ к зараженной системе через ботнет TrickBot, а затем использовала Anchor для установки PowerRatankba, PowerShell-бэкдора, в сети неназванной скомпрометированной компании.
Начиная с октября 2019 года модуль использовался в ряде направленных кампаний против финансового, производственного и розничного бизнеса. Сообщается, что волна атак была нацелена на кражу конфиденциальной информации из систем POS и других конфиденциальных данных в сетях жертв.
Читайте также на АКБ:
Игра киберпрестолов XXIII: северокорейцы Lazarus обносят индийские банки