متابعات-ميكسي نيوز
Trickbot…قد تكون الجهود المبذولة لتعطيل TrickBot قد أغلقت معظم البنية التحتية الحرجة ، لكن المشغلين وراء البرامج الضارة سيئة السمعة لا يجلسون في وضع الخمول.
وفقًا للنتائج الجديدة التي تشاركها شركة الأمن السيبراني netscout، قام مؤلفو Trastbot بنقل أجزاء من الكود إلى Linux في محاولة لتوسيع نطاق الضحايا الذي يمكن استهدافه.
كان Trickbot ، وهو طروادة مالية تم اكتشافه لأول مرة في عام 2016 ، تقليديًا حلًا للجرم القائم على Windows ، يستخدم وحدات مختلفة لأداء مجموعة واسعة من الأنشطة الضارة على الشبكات المستهدفة ، بما في ذلك سرقة الاعتماد وهجمات الفدية الرصفية.
ولكن على مدار الأسابيع القليلة الماضية ، ساعدت الجهود المزدوجة التي تقودها القيادة الإلكترونية الأمريكية و Microsoft القضاء على 94 ٪ من خوادم TrickBot والسيطرة (C2) التي كانت قيد الاستخدام والبنية التحتية الجديدة التي حاول المجرمون الذين يعملون TrickBot إحضار عبر الإنترنت لاستبدال الخوادم المعوقة سابقًا.
على الرغم من الخطوات المتخذة لإعاقة TrickBot ، حذرت Microsoft من أن الجهات الفاعلة التهديدات التي تقف خلف الروبوتات من المحتمل أن تبذل جهودًا لإحياء عملياتها.
وحدة مرساة Trickbot
في نهاية عام 2019 ، يسمى إطار عمل TrickBot الخلفي الجديد مِرسَاة تم اكتشافه باستخدام بروتوكول DNS للتواصل مع خوادم C2 خلسة.
تتيح الوحدة “الجهات الفاعلة-عملاء TrickBot المحتملين-الاستفادة من هذا الإطار ضد الضحايا البارزين ، الحارس، إن إضافة “القدرة على دمج APT بسلاسة في نموذج أعمال تسييل هو دليل على وجود تحول كمي.”
بالفعل، IBM X-Force رصد الهجمات الإلكترونية الجديدة في وقت سابق من هذا أبريل تكشف التعاون بين fin6 ومجموعات TrickBot لنشر إطار المرساة ضد المنظمات من أجل الربح المالي.
يمكّن المتغير ، الذي يطلق عليه “anchor_dns” ، العميل المصاب من الاستفادة نفق DNS لإنشاء اتصالات مع خادم C2 ، والذي بدوره ينقل البيانات باستخدام IPS المحلول كاستجابة ، باحثين NTT قال في تقرير 2019.
لكن عينة جديدة تم اكتشافها بواسطة الباحث الأمني في المرحلة الثانية ويلون جرانج في يوليو ، وجدت أن anchor_dns قد تم نقلها إلى نسخة جديدة من Linux backdoor تسمى “anchor_linux“
وقال جرانج: “غالبًا ما يتم تسليمها كجزء من الرمز البريدي ، فإن هذه البرامج الضارة هي عبارة عن أورام خلفية خفيفة الوزن”. “عند التنفيذ ، يقوم بتثبيت نفسه كوظيفة CRON ، ويحدد IP العام (العنوان) للمضيف ثم يبدأ في منارة عبر استفسارات DNS إلى خادم C2 الخاص به.”
كيف يعمل اتصال C2 باستخدام المرساة
أحدث بحث في NetScout يفكّر تدفق التواصل بين الروبوت وخادم C2. أثناء مرحلة الإعداد الأولية ، يرسل العميل “C2_Command 0” إلى الخادم إلى جانب معلومات حول النظام المعرض للخطر ومعرف الروبوت ، الذي يستجيب بعد ذلك مع الرسالة “إشارة /1 /” إلى الروبوت.
كإقرار ، يرسل الروبوت نفس الرسالة إلى C2 ، وبعد ذلك يصدر الخادم عن بُعد الأمر الذي سيتم تنفيذه على العميل. في الخطوة الأخيرة ، يرسل الروبوت نتيجة التنفيذ إلى خادم C2.
وقال سويرا دي سوزا باحث أمن NetScout: “كل جزء من الاتصالات التي تم إجراؤها على C2 يتبع تسلسلًا من 3 استعلامات DNS مختلفة”.
نتيجة الاستعلام الثالث هي قائمة عناوين IP التي يتم تحليلها لاحقًا من قبل العميل لبناء الحمولة القابلة للتنفيذ.
يتوافق آخر البيانات المرسلة بواسطة خادم C2 مع مجموعة من الأوامر (مرقمة 0-14 في Windows ، و 0-4 ، 10-12 ، و 100 في Linux) لتنفيذ الحمولة النافعة عبر cmd.exe أو عن طريق ضخه في عمليات تشغيل متعددة مثل مستكشف ملفات Windows أو Notepad.
وقال دي سوزا: “إن تعقيد التواصل C2 الخاص بالمرساة والحمولة التي يمكن أن ينفذها الروبوت لا تعكس ليس فقط جزءًا من إمكانات ممثلي Trickbot الكبرى ، ولكن أيضًا قدرتها على الابتكار باستمرار ، كما يتضح من انتقالهم إلى Linux”.
