TrickBot-Bande steigt mit neuen Partnern in die Elite der Cyberkriminalität auf

  • Die Gruppe, die auch BazarLoader und die Conti-Ransomware entwickelt hat, hat ihre Verbreitungstaktik verbessert und bedroht nun mehr denn je Unternehmen.

    Die Cyberkriminellen, die hinter dem berüchtigten TrickBot-Trojaner stecken, haben zwei weitere Verbreitungspartner unter Vertrag genommen, die von IBM X-Force als Hive0106 (alias TA551) und Hive0107 bezeichnet werden. Das Ergebnis? Eskalierende Ransomware-Angriffe auf Unternehmen, insbesondere mit der Conti-Ransomware.

    Die Entwicklung spricht auch für die zunehmende Raffinesse und das Ansehen der TrickBot-Bande im Untergrund der Cyberkriminalität, so die IBM-Forscher: “Diese jüngste Entwicklung zeigt die Stärke ihrer Verbindungen innerhalb des cyberkriminellen Ökosystems und ihre Fähigkeit, diese Beziehungen zu nutzen, um die Zahl der mit ihrer Malware infizierten Unternehmen zu erhöhen.”

    Die TrickBot-Malware begann im Jahr 2016 als Banking-Trojaner, entwickelte sich jedoch schnell zu einer modularen, vollwertigen Bedrohung. Sie ist in der Lage, eine Reihe von Backdoor- und Datendiebstahlsfunktionen auszuführen, zusätzliche Nutzdaten zu liefern und sich schnell in einem Unternehmen zu verbreiten.

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/10165815/infosec_insiders_in_article_promo.png]

    Nach Angaben von IBM hat die TrickBot-Gang (auch bekannt als ITG23 oder Wizard Spider) dank der beiden neuen Partner nun weitere mächtige Verbreitungstaktiken in ihre Trickkiste gepackt.

    “Zu Beginn dieses Jahres, [the TrickBot gang] in erster Linie auf E-Mail-Kampagnen, die Excel-Dokumente lieferten, und auf eine Call-Center-Masche namens BazarCall, um seine Nutzlast an Unternehmensanwender zu liefern”, so die IBM-Forscher in einer Analyse vom Mittwoch. “Die neuen Partner haben jedoch zusätzlich gekaperte E-Mail-Threads und betrügerische Website-Formulare für Kundenanfragen verwendet. Dieser Schritt hat nicht nur das Volumen der Zustellungsversuche erhöht, sondern auch die Zustellungsmethoden diversifiziert, mit dem Ziel, mehr potenzielle Opfer als je zuvor zu infizieren.”

    BazarCall ist eine Verbreitungstaktik, die mit E-Mails beginnt, in denen “Probeabonnements” für verschiedene Dienste angeboten werden – mit einer Telefonnummer, unter der man den Kundendienst anrufen kann, um zu vermeiden, dass man Geld bezahlen muss. Wenn jemand anruft, meldet sich ein Callcenter-Mitarbeiter und leitet die Opfer auf eine Website, auf der sie sich angeblich von dem Dienst abmelden können: ein Prozess, durch den der “Agent” den Anrufer führt. Am Ende werden die anfälligen Computer mit Malware infiziert – in der Regel mit dem BazarLoader-Implantat, einer weiteren Malware im Arsenal der TrickBot-Bande, und manchmal mit TrickBot selbst. Diese Art von Angriffen wurde laut IBM im Herbst fortgesetzt und durch die neuen Verbreitungsmethoden noch verstärkt.

    In der Zwischenzeit ist die TrickBot-Bande seit 2020 stark in die Ransomware-Wirtschaft involviert, wobei die TrickBot-Malware als Ausgangspunkt für Kampagnen dient. Benutzer, die mit dem Trojaner infiziert sind, sehen, wie ihr Gerät Teil eines Botnetzes wird, das Angreifer in der Regel nutzen, um die Ransomware-Variante der zweiten Stufe zu laden. Laut IBM haben die Betreiber auch ihre eigene Ransomware entwickelt: den Conti-Code, der dafür berüchtigt ist, Krankenhäuser anzugreifen, Backup-Dateien zu zerstören und eine doppelte Erpressungstaktik zu verfolgen.

    IBM stellte fest, dass seit dem Einstieg der beiden Partnerunternehmen im Juni ein entsprechender Anstieg der Conti-Ransomware-Angriffe zu verzeichnen war – was wahrscheinlich kein Zufall ist.

    “Ransomware und Erpressung gehen heutzutage Hand in Hand”, heißt es in der Analyse des Unternehmens. “[The TrickBot gang] hat sich durch die Schaffung des Conti Ransomware-as-a-Service (RaaS) und die Verwendung seiner BazarLoader- und Trickbot-Payloads ebenfalls an die Ransomware-Ökonomie angepasst, um bei Ransomware-Angriffen Fuß zu fassen.”

    Partner Hive0106: Spam-Kraftpaket

    IBM X-Force-Forscher stellten fest, dass die wichtigste Entwicklung seit Juni für die Verbreitung der verschiedenen Arten von Malware der TrickBot-Bande die neu geschlossene Partnerschaft mit Hive0106 (auch bekannt als TA551, Shathak und UNC2420) ist.

    Hive0106 ist auf massives Spamming spezialisiert und ist eine finanziell motivierte Bedrohungsgruppe, die in letzter Zeit Partnerschaften mit Elite-Cybercrime-Banden gesucht hat, so das Unternehmen.

    Die Kampagnen von Hive0106 beginnen mit dem Hijacking von E-Mail-Threads: eine Taktik, die von ihrem Erzfeind Emotet entwickelt wurde. Die Taktik besteht darin, sich in eine laufende Korrespondenz einzuschalten, um unter dem Vorwand, der rechtmäßige Kontoinhaber zu sein, auf eine eingehende Nachricht zu antworten. Diese bestehenden E-Mail-Threads werden bei früheren Infektionen von E-Mail-Clients gestohlen. Laut den Forschern ist Hive0106 in der Lage, diese Kampagnen in großem Maßstab durchzuführen, indem er neu erstellte bösartige Domänen verwendet, um Malware-Nutzlasten zu hosten.

    “Die E-Mails enthalten die Betreffzeile des E-Mail-Threads, aber nicht den gesamten Thread”, heißt es in dem Bericht von IBM X-Force. “In der E-Mail befindet sich eine Archivdatei, die einen bösartigen Anhang und ein Passwort enthält.

    In den neuen Kampagnen legt dieses bösartige Dokument eine HTML-Anwendungsdatei (HTA) ab, wenn Makros aktiviert sind.

    “HTA-Dateien enthalten Hypertext-Code und können auch VBScript- oder JScript-Skripte enthalten, die beide häufig in mit Fallen versehenen Makros verwendet werden”, heißt es in der Analyse. “Die HTA-Datei lädt dann Trickbot oder BazarLoader herunter, die anschließend Cobalt Strike heruntergeladen haben.

    Cobalt Strike ist ein legitimes Pen-Testing-Tool, das häufig von Cyberkriminellen missbraucht wird, um sich von der Seite zu bewegen. Es ist oft eine Vorstufe zu einer Ransomware-Infektion.

    Hive0107 kommt an Bord

    Ein weiterer prominenter Partner, der sich in diesem Sommer der TrickBot-Gang angeschlossen hat, ist Hive0107, der in der ersten Jahreshälfte den Trojaner IcedID (einen TrickBot-Konkurrenten) verbreitet hat. Im Mai wechselte das Unternehmen zu TrickBot und nutzte dessen patentierte Methode zur Verbreitung von Kontaktformularen.

    Die Analysten “beobachteten Hive0107 bei gelegentlichen Verteilungskampagnen der Trickbot-Malware, die von Mitte Mai bis Mitte Juli 2021 entdeckt wurden… nach diesem Zeitraum stellte Hive0107 vollständig auf die Verbreitung von BazarLoader um”, so die Forscher, die hinzufügten, dass die meisten Kampagnen auf Organisationen in den USA und in geringerem Umfang in Kanada und Europa abzielten.

    Hive0107 ist dafür bekannt, Kundenkontaktformulare auf Unternehmenswebsites zu nutzen, um bösartige Links an ahnungslose Mitarbeiter zu senden. Laut der Analyse drohen die Nachrichten in der Regel mit rechtlichen Schritten.

    In der Vergangenheit nutzten die Cyberkriminellen Urheberrechtsverletzungen als Vorwand: “Die Gruppe gibt typischerweise Informationen in diese Kontaktformulare ein – wahrscheinlich unter Verwendung automatisierter Methoden – und informiert die Zielorganisation darüber, dass sie illegal urheberrechtlich geschützte Bilder verwendet hat, und fügt einen Link zu ihren Beweisen hinzu”, erklärten die IBM X-Force-Forscher.

    In den neuen Kampagnen verwendet Hive0107 einen anderen Köder, so die Forscher, und behauptet, dass das Zielunternehmen DDoS-Angriffe (Distributed Denial of Service) auf seine Server durchgeführt hat. Die Nachrichten enthalten dann einen (böswilligen) Link zu angeblichen Beweisen und Hinweisen, wie man die Situation beheben kann.

    Die Gruppe sendet denselben Inhalt auch per E-Mail an die Mitarbeiter des Unternehmens – eine weitere Änderung der Taktik.

    In jedem Fall werden die Links auf legitimen Cloud-Speicherdiensten gehostet, auf denen die Nutzdaten gespeichert sind, wie die Analyse ergeben hat.

    “Ein Klick auf den Link lädt ein ZIP-Archiv herunter, das einen bösartigen JScript (JS)-Downloader mit dem Titel ‘Stolen Images Evidence.js’ oder ‘DDoS attack proof and instructions on how to fix it.js’ enthält”, so die Forscher. “Die JS-Datei kontaktiert eine URL auf neu erstellten Domains, um BazarLoader herunterzuladen.

    BazarLoader lädt dann Cobalt Strike und ein PowerShell-Skript herunter, um die PrintNightmare-Schwachstelle (CVE-2021-34527) auszunutzen, fügten sie hinzu – und manchmal TrickBot.

    “IBM vermutet, dass der über diese Hive0107-Kampagnen erlangte Zugriff letztlich dazu verwendet wird, einen Ransomware-Angriff zu starten”, so die Forscher.

    Die neuen Affiliate-Kampagnen sind ein Beweis für den anhaltenden Erfolg der TrickBot-Bande, die in den Kreis der Cyberkriminellen eindringt, so die Schlussfolgerung des Unternehmens – ein Trend, den IBM X-Force auch für das nächste Jahr erwartet.

    “[The gang] begann 2016 aggressiv und hat sich zu einer festen Größe im Bereich der Cyberkriminalität in Osteuropa entwickelt”, so die Forscher. “Im Jahr 2021 hat sich die Gruppe wieder an der Spitze der Cyberkriminellen positioniert.

    Sie fügten hinzu: “Die Gruppe hat bereits bewiesen, dass sie in der Lage ist, ihre Malware und Infrastruktur aufrechtzuerhalten und zu aktualisieren, trotz der Bemühungen von Strafverfolgungsbehörden und Branchenverbänden, sie auszuschalten.”

    Wie man Unternehmen schützt, wenn TrickBot zuschlägt

    Um die Wahrscheinlichkeit zu verringern, durch eine Infektion (oder einen nachfolgenden Ransomware-Angriff) katastrophale Schäden zu erleiden, empfiehlt IBM die folgenden Schritte:

    • Stellen Sie sicher, dass Sie über redundante Backups verfügen, die getrennt von Netzwerkzonen gespeichert werden, auf die Angreifer mit Lesezugriff zugreifen könnten. Die Verfügbarkeit von effektiven Backups ist ein wichtiges Unterscheidungsmerkmal für Unternehmen und kann die Wiederherstellung nach einem Ransomware-Angriff unterstützen.
    • Implementieren Sie eine Strategie zur Verhinderung unbefugten Datendiebstahls, insbesondere im Hinblick auf das Hochladen großer Datenmengen auf legitime Cloud-Speicherplattformen, die Angreifer missbrauchen können.
    • Setzen Sie Analysen des Nutzerverhaltens ein, um potenzielle Sicherheitsvorfälle zu erkennen. Gehen Sie bei Auslösung davon aus, dass ein Verstoß stattgefunden hat. Prüfung, Überwachung und schnelle Reaktion auf vermuteten Missbrauch im Zusammenhang mit privilegierten Konten und Gruppen.
    • Einsatz einer Mehrfaktor-Authentifizierung an allen Fernzugriffspunkten auf ein Unternehmensnetzwerk.
    • Sichern oder deaktivieren Sie das Remote-Desktop-Protokoll (RDP). Es ist bekannt, dass mehrere Ransomware-Angriffe einen schwachen RDP-Zugang ausnutzen, um sich Zugang zu einem Netzwerk zu verschaffen.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Online-Townhalls – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com