Angreifer hinter Trickbot erweitern Malware-Verteilungskanäle

  • Die Betreiber hinter der schädlichen TrickBot-Malware sind mit neuen Tricks wieder aufgetaucht, die darauf abzielen, durch die Ausweitung der Vertriebskanäle die Verbreitung von Ransomware wie Conti.

    Der Bedrohungsakteur, der unter den Namen ITG23 und Wizard Spider bekannt ist, hat sich mit anderen Cyberkriminellen zusammengetan, die unter den Namen Hive0105, Hive0106 (auch bekannt als TA551 oder Shathak) und Hive0107 bekannt sind, und fügt einer wachsenden Anzahl von Kampagnen hinzu, auf die die Angreifer setzen, um ihre eigene Malware zu verbreiten, so ein Bericht von IBM X-Force.

    “Diese und andere Anbieter von Cyberkriminalität infizieren Unternehmensnetzwerke mit Malware, indem sie E-Mail-Threads kapern, gefälschte Kundenantwortformulare verwenden und Mitarbeiter mit einem gefälschten Callcenter namens BazarCall sozialisieren”, so die Forscher Ole Villadsen und Charlotte Hammond.

    [Blocked Image: https://thehackernews.com/images/-_qTKDwXdOnI/YVHQqMJj85I/AAAAAAAA4Z4/RFYOUTwKxUY869ZyUVtFZRcIgVtUMHzAQCLcBGAsYHQ/s300-e100/rewind-1-300.png]

    Seit seinem Auftauchen in der Bedrohungslandschaft im Jahr 2016 hat sich TrickBot von einem Banking-Trojaner zu einer modularen, Windows-basierten Crimeware-Lösung entwickelt. Gleichzeitig zeichnete er sich durch seine Widerstandsfähigkeit aus und bewies, dass er sein Toolset und seine Infrastruktur trotz mehrfacher Bemühungen von Strafverfolgungsbehörden und Branchenverbänden, ihn auszuschalten, beibehalten und aktualisieren kann. Neben TrickBot wird der Wizard Spider-Gruppe auch die Entwicklung von BazarLoader und einer Backdoor namens Anchor zugeschrieben.

    Während sich die Angriffe zu Beginn des Jahres auf E-Mail-Kampagnen mit Excel-Dokumenten und eine Callcenter-Masche namens “BazaCall” stützten, um Malware an Unternehmensanwender zu liefern, waren die jüngsten Angriffe ab Juni 2021 durch eine Partnerschaft mit zwei Cyberkriminellen gekennzeichnet, die ihre Verteilungsinfrastruktur ausbauten, indem sie gekaperte E-Mail-Threads und betrügerische Formulare für Kundenanfragen auf den Websites von Unternehmen nutzten, um Cobalt Strike-Nutzdaten zu verteilen.

    “Durch diesen Schritt wurde nicht nur das Volumen der Verbreitungsversuche erhöht, sondern auch die Verbreitungsmethoden diversifiziert, mit dem Ziel, mehr potenzielle Opfer als je zuvor zu infizieren”, so die Forscher.

    [Blocked Image: https://thehackernews.com/images/-kWDGRam_ORw/YWRg-LL2xVI/AAAAAAAA4cc/Ny7oMagb4fIy-HgQvhylVml7noMHEhWAgCLcBGAsYHQ/s300-e100/channel-300.png]

    In einer von IBM Ende August 2021 beobachteten Infektionskette soll die Hive0107-Tochtergesellschaft eine neue Taktik angewandt haben, bei der E-Mail-Nachrichten an Zielunternehmen gesendet werden, in denen diese darüber informiert werden, dass ihre Websites DDoS-Angriffe (Distributed Denial of Service) auf ihre Server durchgeführt haben, und die Empfänger aufgefordert werden, auf einen Link zu klicken, um weitere Beweise zu erhalten. Sobald der Link angeklickt wird, wird stattdessen ein ZIP-Archiv heruntergeladen, das einen bösartigen JavaScript-Downloader enthält, der wiederum eine Remote-URL kontaktiert, um die BazarLoader-Malware zu holen, die Cobalt Strike und TrickBot abwirft.

    “ITG23 hat sich auch an die Ransomware-Ökonomie angepasst, indem es den Conti Ransomware-as-a-Service (RaaS) geschaffen hat und seine BazarLoader- und Trickbot-Nutzlasten einsetzt, um für Ransomware-Angriffe Fuß zu fassen”, so die Schlussfolgerung der Forscher. “Diese jüngste Entwicklung zeigt die Stärke seiner Verbindungen innerhalb des cyberkriminellen Ökosystems und seine Fähigkeit, diese Beziehungen zu nutzen, um die Zahl der mit seiner Malware infizierten Organisationen zu erhöhen.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com