Trickbot-Malware kehrt mit einem neuen VNC-Modul zurück, um seine Opfer auszuspionieren

  • Cybersecurity-Forscher haben das anhaltende Wiederaufleben der heimtückischen TrickBot-Malware aufgedeckt und deutlich gemacht, dass die in Russland ansässige transnationale Cybercrime-Gruppe hinter den Kulissen daran arbeitet, ihre Angriffsinfrastruktur als Reaktion auf die jüngsten Gegenmaßnahmen der Strafverfolgungsbehörden zu erneuern.

    “Die neu entdeckten Fähigkeiten werden zur Überwachung und zum Sammeln von Informationen über die Opfer verwendet, wobei ein spezielles Kommunikationsprotokoll verwendet wird, um Datenübertragungen zwischen [command-and-control] Servern und Opfern zu verbergen – was Angriffe schwer zu erkennen macht”, so Bitdefender in einem am Montag veröffentlichten technischen Bericht, der auf eine zunehmende Raffinesse der Taktiken der Gruppe hindeutet.

    “Trickbot zeigt keine Anzeichen einer Verlangsamung”, stellten die Forscher fest.

    [Blocked Image: https://thehackernews.com/images/-u_TFlX83-es/YMt1oTeur5I/AAAAAAAA4Q0/KR6i59vv_vIwmmg08UXTwO08_FGRyPjmQCLcBGAsYHQ/s300-e100/free-ad-9-300.png]

    Botnets entstehen, wenn Hunderte oder Tausende von gehackten Geräten in ein von kriminellen Betreibern betriebenes Netzwerk eingebunden werden. Diese werden dann oft dazu verwendet, Denial-of-Network-Angriffe zu starten, um Unternehmen und kritische Infrastrukturen mit gefälschtem Datenverkehr zu bombardieren, mit dem Ziel, sie offline zu schalten. Mit der Kontrolle über diese Geräte können böswillige Akteure Botnets aber auch nutzen, um Malware und Spam zu verbreiten oder um dateiverschlüsselnde Ransomware auf den infizierten Computern zu installieren.

    TrickBot ist nicht anders. Die berüchtigte Cybercrime-Bande, die hinter der Operation steckt – genannt Wizard Spider -, hat eine Erfolgsbilanz bei der Ausnutzung der infizierten Computer, um vertrauliche Informationen zu stehlen, sich seitlich im Netzwerk zu bewegen und sogar als Lader für andere Malware, wie z. B. Ransomware, zu fungieren, während sie ihre Infektionsketten durch Hinzufügen von Modulen mit neuen Funktionen zur Steigerung der Effektivität ständig verbessert.

    [Blocked Image: https://thehackernews.com/images/-lY946C1ixK8/YO00LQXdaCI/AAAAAAAADKk/Q1lUdVb4fEs3e3Yv8fYPD46ElEvkzeoTgCLcBGAsYHQ/s728-e1000/attack.jpg]

    “TrickBot hat sich zu einer komplexen Infrastruktur entwickelt, die Server von Drittanbietern kompromittiert und diese als Host für Malware nutzt”, teilte Lumen’s Black Lotus Labs im vergangenen Oktober mit. “Es infiziert auch Verbrauchergeräte wie DSL-Router, und seine kriminellen Betreiber wechseln ständig ihre IP-Adressen und die infizierten Hosts, um die Unterbrechung ihrer Verbrechen so schwierig wie möglich zu machen.”

    Das Botnet hat seither zwei Abschaltversuche von Microsoft und dem U.S. Cyber Command überlebt, wobei die Betreiber Komponenten zum Eingriff in die Firmware entwickelt haben, die es den Hackern ermöglichen, eine Hintertür in das Unified Extensible Firmware Interface (UEFI) einzubauen und so die Erkennung durch Antivirenprogramme, Software-Updates oder sogar eine komplette Löschung und Neuinstallation des Betriebssystems des Computers zu umgehen.

    [Blocked Image: https://thehackernews.com/images/-c9dgmAKoN_s/YLy9MwSA5HI/AAAAAAAA4BI/hJfAZal3vaMbpnSbjpBWkZ-bT_62BsztwCLcBGAsYHQ/s728-e100/auth_728.jpg]

    Jetzt wurde laut Bitdefender festgestellt, dass der Bedrohungsakteur aktiv eine aktualisierte Version eines Moduls namens “vncDll” entwickelt, das er gegen ausgewählte hochrangige Ziele zur Überwachung und zum Sammeln von Informationen einsetzt. Die neue Version hat den Namen “tvncDll” erhalten.

    Das neue Modul ist so konzipiert, dass es mit einem der neun in seiner Konfigurationsdatei definierten Command-and-Control (C2)-Server kommuniziert und über diesen eine Reihe von Angriffsbefehlen abruft, weitere Malware-Nutzlasten herunterlädt und die gesammelten Daten vom Rechner zurück zum Server exfiltriert. Darüber hinaus gaben die Forscher an, dass sie ein “Viewer-Tool” identifiziert haben, mit dem die Angreifer über die C2-Server mit den Opfern interagieren können.

    Obwohl die Bemühungen, die Operationen der Bande zu unterdrücken, nicht ganz erfolgreich waren, sagte Microsoft gegenüber The Daily Beast, dass es mit Internet Service Providern (ISPs) zusammengearbeitet hat, um Router, die mit der Trickbot-Malware kompromittiert wurden, in Brasilien und Lateinamerika von Tür zu Tür zu ersetzen, und dass es der Trickbot-Infrastruktur in Afghanistan effektiv den Stecker gezogen hat.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com