Même si l’infrastructure TrickBot a fermé ses portes, les opérateurs du logiciel malveillant continuent d’affiner et de réorganiser leur arsenal pour mener des attaques qui ont abouti au déploiement du rançongiciel Conti.
IBM Security X-Force, qui a découvert la version remaniée du gang criminel AnchorDNS porte dérobée, surnommée la nouvelle variante améliorée AnchorMail.
AnchorMail « utilise un e-mail [command-and-control] serveur avec lequel il communique à l’aide des protocoles SMTP et IMAP sur TLS », l’ingénieure inverse des logiciels malveillants d’IBM, Charlotte Hammond, mentionné. « À l’exception du mécanisme de communication C2 révisé, le comportement d’AnchorMail s’aligne très étroitement sur celui de son prédécesseur AnchorDNS. »
L’acteur de la cybercriminalité derrière TrickBot, ITG23 alias Wizard Spider, est également connu pour son développement du framework de logiciels malveillants Anchor, une porte dérobée réservée au ciblage de victimes sélectionnées de grande valeur depuis au moins 2018 via TrickBot et BazarBackdoor (alias BazarLoader), un implant supplémentaire conçu par le même groupe.
Au fil des ans, le groupe a également bénéficié d’une relation symbiotique avec le cartel des ransomwares Conti, ce dernier tirant parti des charges utiles TrickBot et BazarLoader pour prendre pied dans le déploiement du malware de cryptage de fichiers.
« À la fin de 2021, Conti avait essentiellement acquis TrickBot, avec plusieurs développeurs et gestionnaires d’élite rejoignant le ransomware cosa nostra », a déclaré Yelisey Boguslavskiy d’AdvIntel. c’est noté dans un rapport publié mi-février.
Moins de 10 jours plus tard, les acteurs de TrickBot ont fermé leur infrastructure de botnet après une interruption inhabituelle de deux mois dans les campagnes de distribution de logiciels malveillants, marquant un pivot qui est susceptible de canaliser leurs efforts sur des familles de logiciels malveillants plus furtifs tels que BazarBackdoor.
Au milieu de tous ces développements, la porte dérobée AnchorDNS a fait peau neuve. Alors que le prédécesseur communique avec ses serveurs C2 en utilisant Tunnellisation DNS – une technique qui implique l’utilisation abusive du protocole DNS pour infiltrer le trafic malveillant au-delà des défenses d’une organisation – la nouvelle version basée sur C++ utilise des messages électroniques spécialement conçus.
« AnchorMail utilise le protocole SMTPS crypté pour envoyer des données au C2, et IMAPS est utilisé pour les recevoir », a noté Hammond, ajoutant que le malware établit la persistance en créant une tâche planifiée qui s’exécute toutes les 10 minutes, en la suivant en contactant le Serveur C2 pour récupérer et exécuter toutes les commandes à exécuter.
Les commandes incluent la capacité d’exécuter des fichiers binaires, des DLL et du shellcode récupérés à partir du serveur distant, de lancer des commandes PowerShell et de se supprimer des systèmes infectés.
« La découverte de cette nouvelle variante Anchor ajoute une nouvelle porte dérobée furtive à utiliser lors d’attaques de ransomwares et souligne l’engagement du groupe à mettre à jour ses logiciels malveillants », a déclaré Hammond. « [AnchorMail] n’a jusqu’à présent été observé qu’en ciblant les systèmes Windows. Cependant, comme AnchorDNS a été porté sur Linux, il semble probable qu’une variante Linux d’AnchorMail puisse également émerger. »