اپراتورهای TrickBot درب پشتی جدیدی برای هدف‌های مهم ایجاد می‌کنند

مجرمان سایبری پشت پرده‌ی بدافزار TrickBot که گفته می‌شود در روسیه مستقر هستند، از یک درب پشتی جدید PowerShell در حملات اخیر با اهداف ارزشمند استفاده کرده‌اند. TrickBot که ابتدا در سال ۲۰۱۶ میلادی کشف شد، جانشین تروجان Dyre است. این بدافزار از زمانی که کشف شد، چند به‌روزرسانی دریافت کرده است و در تعداد زیادی از حملات که بیشتر آن‌ها روی محیط‌های سازمانی تمرکز کرده‌اند، استفاده شده است.

درب‌پشتی که به‌تازگی کشف شده و PowerTrick نامیده می‌شود، در برخی موارد به‌عنوان یک وظیفه‌ی  PowerShell از طریق آلودگی‌های عادی TrickBot استقرار می‌یابد. این بدافزار ساده است و به‌طور عمده برای اجرای دستورات و بازگرداندن نتایج در فرمت Base64 طراحی شده است. PowerTrick در حملاتی با اهداف مهم مانند مؤسسات مالی استفاده شده است.

فعالیت‌های این ربات شامل انجام یک بررسی اولیه، تنظیم مجدد زمان خروج،  انتظار در یک حلقه برای اجرای دستورات بعدی، اجرای دستورات دریافت‌شده، بازگرداندن نتایج یا یک پیام خطا است. پژوهش‌گران امنیتی SentinelLabs بیان می‌کنند که این ابزار تهاجمی جدید برای profiling و انتشار استفاده می‌شود و در رابطه با سایر چارچوب‌ها و ابزارهای تهاجمی مختلف که به‌صورت پولی یا رایگان قابل بارگیری هستند، به کار گرفته می‌شود. در حملات مربوط به درب پشتی PowerTrick، مجرمان سایبری به‌طور معمول از سایر ابزارهای PowerShell برای انجام کارهای مختلف استفاده می‌کنند.

این اسکریپت نه تنها برای انتشار آلودگی به چارچوب دیگر، بلکه برای توزیع پس از انتشار در سیستم‌های دیگر استفاده می‌شود. پس از profiling سیستم‌ها و شبکه‌ی آسیب‌دیده، این عامل تهدید عملیات پاک‌سازی را شروع می‌کند که شامل حذف همه‌ی فایل‌هایی است که به درستی کار نمی‌کنند یا بعداً به سیستم‌های باارزش مانند دروازه‌های مالی حرکت می‌کنند.

پژوهش‌گران SentinelLabs توانستند درب‌پشتی PowerTrick را به بدافزاری مانند TrickBot Anchor DNS و TerraLoader پیوند دهند، اما مشاهده کردند که این بدافزار برای اجرای مستقیم شل‌کد استفاده می‌شود. SentinelLabs بیان کرد که هدف نهایی از درب‌پشتی PowerTrick و رویکرد آن دور زدن محدودیت‌ها و کنترل‌های امنیتی برای انطباق با مکانیسم‌های جدید کنترل‌های امنیتی و بهره‌برداری از امن‌ترین و محافظت‌شده‌ترین شبکه‌های باارزش است.

منبع

Related posts

Leave a Comment

3 × چهار =