Операторы, стоящие за вредоносным вредоносным ПО TrickBot, прибегли к новым уловкам, направленным на то, чтобы укрепить свои позиции за счет расширения каналов распространения, что в конечном итоге привело к развертыванию программ-вымогателей, таких как Conti.
Было обнаружено, что злоумышленник, отслеживаемый под именами ITG23 и Wizard Spider, сотрудничает с другими бандами киберпреступников, известными как Hive0105, Hive0106 (также известный как TA551 или Shathak) и Hive0107, что способствует увеличению числа кампаний, на которые злоумышленники рассчитывают. распространять несвободные вредоносные программы, согласно отчету IBM X-Force.
«Эти и другие поставщики киберпреступлений заражают корпоративные сети вредоносным ПО, перехватывая потоки электронной почты, используя поддельные формы ответов клиентов и сотрудников социальной инженерии с поддельным колл-центром, известным как BazarCall», – заявили исследователи Оле Вилладсен и Шарлотта Хаммонд.
С момента появления в ландшафте угроз в 2016 году TrickBot превратился из банковского трояна в модульное решение для защиты от преступных действий на базе Windows, при этом выделяясь своей устойчивостью, демонстрируя способность поддерживать и обновлять свой набор инструментов и инфраструктуру, несмотря на многочисленные усилия правоохранительных органов. и отраслевые группы, чтобы снять его. Помимо TrickBot, группе Wizard Spider приписывают разработку BazarLoader и бэкдора под названием Anchor.
В то время как атаки, совершенные ранее в этом году, основывались на кампаниях по электронной почте, доставляющих документы Excel, и уловке колл-центра, получившей название «BazaCall», для доставки вредоносного ПО корпоративным пользователям, недавние вторжения, начавшиеся примерно в июне 2021 года, были отмечены партнерством с двумя аффилированными организациями по борьбе с киберпреступностью с целью расширения инфраструктуры распространения. за счет использования перехваченных цепочек писем и форм запросов клиентов на мошеннических веб-сайтах на веб-сайтах организаций для развертывания полезных нагрузок Cobalt Strike.
«Этот шаг не только увеличил объем попыток доставки, но и разнообразил методы доставки с целью заразить больше потенциальных жертв, чем когда-либо», – заявили исследователи.
В одной цепочке заражений, наблюдаемой IBM в конце августа 2021 года, филиал Hive0107, как сообщается, принял новую тактику, которая включает в себя отправку сообщений электронной почты целевым компаниям, информирующих о том, что их веб-сайты проводят распределенные атаки типа отказ в обслуживании (DDoS) на свои серверы, побуждая получателей щелкнуть ссылку для получения дополнительных доказательств. После нажатия на ссылку вместо этого загружается ZIP-архив, содержащий вредоносный загрузчик JavaScript (JS), который, в свою очередь, обращается к удаленному URL-адресу, чтобы загрузить вредоносное ПО BazarLoader, чтобы сбросить Cobalt Strike и TrickBot.
«ITG23 также адаптировался к экономике программ-вымогателей за счет создания Conti ransomware-as-a-service (RaaS) и использования его полезных нагрузок BazarLoader и Trickbot для закрепления за атаками программ-вымогателей», – заключили исследователи. «Эта последняя разработка демонстрирует силу ее связей в экосистеме киберпреступников и ее способность использовать эти связи для увеличения числа организаций, зараженных ее вредоносным ПО».
Источник: The Hacker News