مجرمان سایبری پشت پردهی بدافزار TrickBot که گفته میشود در روسیه مستقر هستند، از یک درب پشتی جدید PowerShell در حملات اخیر با اهداف ارزشمند استفاده کردهاند. TrickBot که ابتدا در سال ۲۰۱۶ میلادی کشف شد، جانشین تروجان Dyre است. این بدافزار از زمانی که کشف شد، چند بهروزرسانی دریافت کرده است و در تعداد زیادی از حملات که بیشتر آنها روی محیطهای سازمانی تمرکز کردهاند، استفاده شده است.
دربپشتی که بهتازگی کشف شده و PowerTrick نامیده میشود، در برخی موارد بهعنوان یک وظیفهی PowerShell از طریق آلودگیهای عادی TrickBot استقرار مییابد. این بدافزار ساده است و بهطور عمده برای اجرای دستورات و بازگرداندن نتایج در فرمت Base64 طراحی شده است. PowerTrick در حملاتی با اهداف مهم مانند مؤسسات مالی استفاده شده است.
فعالیتهای این ربات شامل انجام یک بررسی اولیه، تنظیم مجدد زمان خروج، انتظار در یک حلقه برای اجرای دستورات بعدی، اجرای دستورات دریافتشده، بازگرداندن نتایج یا یک پیام خطا است. پژوهشگران امنیتی SentinelLabs بیان میکنند که این ابزار تهاجمی جدید برای profiling و انتشار استفاده میشود و در رابطه با سایر چارچوبها و ابزارهای تهاجمی مختلف که بهصورت پولی یا رایگان قابل بارگیری هستند، به کار گرفته میشود. در حملات مربوط به درب پشتی PowerTrick، مجرمان سایبری بهطور معمول از سایر ابزارهای PowerShell برای انجام کارهای مختلف استفاده میکنند.
این اسکریپت نه تنها برای انتشار آلودگی به چارچوب دیگر، بلکه برای توزیع پس از انتشار در سیستمهای دیگر استفاده میشود. پس از profiling سیستمها و شبکهی آسیبدیده، این عامل تهدید عملیات پاکسازی را شروع میکند که شامل حذف همهی فایلهایی است که به درستی کار نمیکنند یا بعداً به سیستمهای باارزش مانند دروازههای مالی حرکت میکنند.
پژوهشگران SentinelLabs توانستند دربپشتی PowerTrick را به بدافزاری مانند TrickBot Anchor DNS و TerraLoader پیوند دهند، اما مشاهده کردند که این بدافزار برای اجرای مستقیم شلکد استفاده میشود. SentinelLabs بیان کرد که هدف نهایی از دربپشتی PowerTrick و رویکرد آن دور زدن محدودیتها و کنترلهای امنیتی برای انطباق با مکانیسمهای جدید کنترلهای امنیتی و بهرهبرداری از امنترین و محافظتشدهترین شبکههای باارزش است.
