Avvxsegyge1D2Mtbtkbnpnukk87Wfxxnzanwbdhsorwb68Fasnyfjowiix4E21B7Bmta6Dzfxgljt2Xuoxyn3Ka Qn0Zbq Fhgt6Ewpk2Fktzv01Bsan1J2Eokkndaiqo0Ygbgomc0I8F Kyyxjxr 4N3Nskzem0Jj Jbyigcxmjcc1Ykaawpal3Qpis0Hqb

Même si l’infrastructure TrickBot a fermé ses portes, les opérateurs du logiciel malveillant continuent d’affiner et de réorganiser leur arsenal pour mener des attaques qui ont abouti au déploiement du rançongiciel Conti.

IBM Security X-Force, qui a découvert la version remaniée du gang criminel AnchorDNS porte dérobée, surnommée la nouvelle variante améliorée AnchorMail.

AnchorMail « utilise un e-mail [command-and-control] serveur avec lequel il communique à l’aide des protocoles SMTP et IMAP sur TLS », l’ingénieure inverse des logiciels malveillants d’IBM, Charlotte Hammond, mentionné. « À l’exception du mécanisme de communication C2 révisé, le comportement d’AnchorMail s’aligne très étroitement sur celui de son prédécesseur AnchorDNS. »

Sauvegardes Github Automatiques

L’acteur de la cybercriminalité derrière TrickBot, ITG23 alias Wizard Spider, est également connu pour son développement du framework de logiciels malveillants Anchor, une porte dérobée réservée au ciblage de victimes sélectionnées de grande valeur depuis au moins 2018 via TrickBot et BazarBackdoor (alias BazarLoader), un implant supplémentaire conçu par le même groupe.

Au fil des ans, le groupe a également bénéficié d’une relation symbiotique avec le cartel des ransomwares Conti, ce dernier tirant parti des charges utiles TrickBot et BazarLoader pour prendre pied dans le déploiement du malware de cryptage de fichiers.

Publicité

« À la fin de 2021, Conti avait essentiellement acquis TrickBot, avec plusieurs développeurs et gestionnaires d’élite rejoignant le ransomware cosa nostra », a déclaré Yelisey Boguslavskiy d’AdvIntel. c’est noté dans un rapport publié mi-février.

Moins de 10 jours plus tard, les acteurs de TrickBot ont fermé leur infrastructure de botnet après une interruption inhabituelle de deux mois dans les campagnes de distribution de logiciels malveillants, marquant un pivot qui est susceptible de canaliser leurs efforts sur des familles de logiciels malveillants plus furtifs tels que BazarBackdoor.

Au milieu de tous ces développements, la porte dérobée AnchorDNS a fait peau neuve. Alors que le prédécesseur communique avec ses serveurs C2 en utilisant Tunnellisation DNS – une technique qui implique l’utilisation abusive du protocole DNS pour infiltrer le trafic malveillant au-delà des défenses d’une organisation – la nouvelle version basée sur C++ utilise des messages électroniques spécialement conçus.

Empêcher Les Violations De Données

« AnchorMail utilise le protocole SMTPS crypté pour envoyer des données au C2, et IMAPS est utilisé pour les recevoir », a noté Hammond, ajoutant que le malware établit la persistance en créant une tâche planifiée qui s’exécute toutes les 10 minutes, en la suivant en contactant le Serveur C2 pour récupérer et exécuter toutes les commandes à exécuter.

Les commandes incluent la capacité d’exécuter des fichiers binaires, des DLL et du shellcode récupérés à partir du serveur distant, de lancer des commandes PowerShell et de se supprimer des systèmes infectés.

« La découverte de cette nouvelle variante Anchor ajoute une nouvelle porte dérobée furtive à utiliser lors d’attaques de ransomwares et souligne l’engagement du groupe à mettre à jour ses logiciels malveillants », a déclaré Hammond. « [AnchorMail] n’a jusqu’à présent été observé qu’en ciblant les systèmes Windows. Cependant, comme AnchorDNS a été porté sur Linux, il semble probable qu’une variante Linux d’AnchorMail puisse également émerger. »


Rate this post
Publicité
Article précédentLe Colorado deviendra le premier État américain à accepter les paiements d’impôts en crypto-monnaie | Colorado
Article suivantWeb3 Doge publie son projet, prêt à remodeler l’industrie du métaverse
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici