Zlonamjerni softver Trickbot dodaje novu značajku za ciljanje telekomunikacija, sveučilišta i financijskih tvrtki

  • Sep 07, 2023

Istraživači otkrivaju kampanju Trickbota s novim sposobnostima koja izgleda kao da se koristi u pokušaju krađe intelektualnog vlasništva, financijskih podataka - i potencijalno za špijunažu.

Novi oblik zloglasnog zlonamjernog softvera Trickbot koristi dosad neviđeno ponašanje u napadima usmjerenim na telekomunikacije pružateljima usluga, sveučilištima i financijskim uslugama u kampanji za koju se čini da ide nakon intelektualnog vlasništva i financijskih podaci.

Kampanju, koja je aktivna najmanje od siječnja, otkrio je i detaljno opisao istraživači tvrtke za kibernetičku sigurnost Bitdefender koji upozoravaju da je vjerojatno još uvijek aktivan.

Privatnost

  • Kako se izbrisati iz rezultata pretraživanja interneta i sakriti svoj identitet na internetu
  • Najbolji preglednici za privatnost
  • 'Repair Mode' Samsungovog pametnog telefona sprječava tehničare da pregledaju vaše fotografije
  • Jesu li aplikacije za praćenje menstruacije sigurne?

Trickbot djeluje od 2016. godine i dok je započeo život kao a

bankarski trojanac, modularna priroda zlonamjernog softvera znači da se lako može prenamijeniti za druga sredstva, što je dovelo do toga da postane jedan od najnaprednijih i najsposobnijih oblika malware napad isporuka u današnjem svijetu.

A sada je ažuriran s još jednom novom mogućnošću, s modulom koji koristi napade brutalnom silom protiv ciljeva uglavnom u telekomunikacijama, obrazovanju i financijskim uslugama u SAD-u i Hong Kongu. Ti su ciljevi unaprijed odabrani na temelju IP adresa, što znači da napadači ciljaju na njih.

VIDJETI: Kibernetička sigurnost: taktizirajmo(ZDNet/TechRepublic posebna značajka) | Preuzmite besplatnu PDF verziju(TechRepublic)

Također postoje dokazi koji upućuju na to da napadači imaju određeno razumijevanje ciljeva – i njihove ranjivosti – jer umjesto isprobavanja beskonačnog izbora korisničkih imena i zaporki, gruba sila napada koristite unaprijed definirani popis korisničkih imena i lozinki u nastojanju da provalite u portove udaljene radne površine.

"Nama to izgleda kao ciljani napad", rekao je Liviu Arsene, viši analitičar e-prijetnji u Bitdefenderu za ZDNet.

"Jednostavna činjenica da koriste popis korisničkih imena i lozinki, a ne prolaze kroz cijeli napad rječnikom ili znači da imaju neku vrstu znanja ili prethodnog iskustva o tome koje lozinke IT administratori koriste za upravljanje njima mreže. Ne bi birali s popisa zaporki osim ako se ovaj popis u prošlosti nije pokazao vrijednim."

Nakon što Trickbot dobije pristup, hakeri se nastoje kretati mrežom uz pomoć EternalRomance SMB ranjivost, vršeći izviđanje na mreži, zatim krađu vjerodajnice uključujući informacije o pregledniku, korisnička imena i lozinke, osjetljive dokumente, financijske podatke, intelektualno vlasništvo i još mnogo toga.

Priroda ciljeva kampanje sugerira da napadači imaju vrlo specifične ideje na umu.

"Oni traže kritične informacije ili intelektualno vlasništvo; Telekomunikacijske usluge mogu napadačima dati mogućnosti nadzora, mogu ući u telekomunikacijske mreže," rekao je Arsene.

"Obrazovanje i istraživanje znače da oni možda žele pristup intelektualnom vlasništvu. A financijske usluge vjerojatno imaju neke veze s burzom – nešto što im može donijeti prihod", dodao je.

Trickbot je toliko široko korišten da je gotovo nemoguće utvrditi tko stoji iza ove najnovije kampanje i dok velike količine zapovijedanja i kontrole infrastruktura je bazirana u Rusiji, to je vjerojatno samo zato što su napadači lako uspjeli kompromitirati strojeve u toj regiji, što su zatim napravili dio botneta.

Kampanja je još uvijek aktivna i vjerojatno će oni koji stoje iza nje – i oni koji stoje iza drugih Trickbota kampanje – nastavit će modificirati zlonamjerni softver na nove načine kako bi se lakše postigla njihova zlonamjernost ciljevi.

"Razlog zašto je zapeo i nastavit će se koristiti je upravo to što je modularan. Ako modul ne daje dovoljno dobre rezultate ili netko smisli nešto poboljšano, sigurno će ga izbaciti", rekao je Arsene.

"Zlonamjerni softver više nije nešto što jednom implementirate i zaboravite, izgradite okosnicu, a zatim počnete dodavati ili uklanjati značajke kako smatrate prikladnim – da služi bilo kojoj svrsi u osnovi", dodao je.

VIDJETI: Pobjednička strategija za kibernetičku sigurnost (ZDNet posebno izvješće) | Preuzmite izvješće kao PDF (TechRepublic)

Međutim, organizacije se mogu zaštititi od kampanja Trickbota i drugog zlonamjernog softvera slijedeći nekoliko jednostavnih koraka. Prvo, provjerite mreža je zakrpana najnovijim sigurnosnim ažuriranjima tako da malware ne može iskoristiti poznate ranjivosti – kao što je EternalRomance krpan je godinama.

Drugo, ograničite pristup udaljenim priključcima ako je moguće i treće, osigurajte da oni koji ih koriste iskoriste prednost provjera autentičnosti s više faktora, tako da ako napadač uspješno brutalno forsira lozinku, ne može ući zbog tog dodatnog sloja sigurnosti.

"To su osnovni sigurnosni koraci koje biste trebali primijeniti u svakoj organizaciji", zaključio je Arsene.

VIŠE O KIBERSIGURNOSTI

  • Ovo su prve lozinke koje će hakeri isprobati kada napadnu vaš uređaj
  • Vaši najosjetljiviji podaci vjerojatno su izloženi online. Ovi ljudi ga pokušavaju pronaći CNET
  • Kibernetička sigurnost: učinite ovih deset stvari kako biste svoje mreže zaštitili od hakera
  • Praćenje krajnjih točaka i osiguravanje sigurnosti uređaja mučan je problem za CIO-ove u zdravstvu TechRepublic
  • Ovaj malware koji krade podatke vratio se s novim napadima i gadnim nadograđenim značajkama