导航菜单

rickBot帮派现已成为朝鲜黑客的恶意软件供应商

导读 今天发布的一份报告显示,朝鲜政府支持的黑客部门正在租用TrickBot僵尸网​​络运营商的精英黑客工具和黑客网络。这一发现证实了近年来观察
2020-01-07 11:02:23

今天发布的一份报告显示,朝鲜政府支持的黑客部门正在租用TrickBot僵尸网​​络运营商的精英黑客工具和黑客网络。

这一发现证实了近年来观察到的趋势-即常规网络犯罪与民族国家网络间谍活动之间的界线正在模糊。

这种趋势在2017年被发现,当时有报告显示GameOver Zeus恶意软件僵尸网络背后的策划者如何帮助俄罗斯情报部门从他感染的计算机上收集敏感文件。

但是博格切夫并不是一个孤立的案例。就在上周,美国向Dridex恶意软件僵尸网络的管理员提出指控,指责他做同样的事情-与俄罗斯国家情报部门合作搜索敏感数据。

这两个案例表明,流行的恶意软件的创建者与一个国家的情报机构之间有着直接的联系。

实际上,这些界限在较低的水平上已经模糊了。多年来,我们已经看到国家黑客组织逐渐采用商品恶意软件。由国家赞助的运营商没有开发自己的工具,而是选择购买已经可以在线销售的恶意软件。

这可以帮助他们将“目标”操作隐藏在大量出于经济动机的黑客的平凡感染中。

在网络安全公司SentinelOne今天发布的报告中,我们了解到国家资助的黑客组织(朝鲜的Lazarus Group)与世俗的恶意软件操作(TrickBot)之间存在新的联系。

根据SentinelOne团队的说法,Lazarus集团最近成为TrickBot帮派的客户,他们从那里租用了已经受感染的系统以及研究人员称为Anchor的新型攻击框架。

TRICKBOT网络犯罪帝国

SentinelOne将Anchor描述为“工具集合”,这些工具组合在一起成为一种新的恶意软件。

作为TrickBot模块提供了Anchor恶意软件菌株。

TrickBot与Emotet和Dridex一起是当今三大恶意软件僵尸网络之一。这是一个巨大的计算机网络,已感染了TrickBot木马。

但是,TrickBot还是“网络犯罪即服务”运营。TrickBot帮派将受TrickBot感染的计算机的访问权出租给其他恶意软件帮派。

这些帮派从勒索软件运营商到在线垃圾邮件发送者,欺诈者等等。租户可以使用TrickBot木马来安装自己的恶意软件或可用的TrickBot模块之一,具体取决于他们想对受感染主机执行的操作。

认识TRICKBOT最先进的模块ANCHOR

在Cyber​​eason和SentinelOne今天发布的报告中,两家公司都说Anchor是一个新的TrickBot模块,它是为特定的市场细分市场而构建的,即针对希望保持沉默并且不受感染的系统检测的黑客。

Anchor是TrickBot尝试首先围绕隐身功能创建模块的尝试。它是用于针对大型公司的攻击的工具,在这种情况下,黑客需要在数周或数月的时间内(在窃取数据的过程中)甚至在入侵结束后的很长时间内都未被发现。

SentinelOne将Anchor描述为“旨在攻击企业环境的多合一攻击框架”。

它由不同的子模块组成,这些子模块提供有针对性的攻击所需的各种功能,但对TrickBot的其他客户没有用。

这包括通过网络横向分布的Anchor子模块,安装后门以供将来访问的功能,以销售点(POS)系统为目标的功能以及为卡数据刮取RAM内存的功能,以及在感染后可以清理系统的功能。隐藏入侵者的踪迹。

乍一看,Anchor看起来像是TrickBot团伙为对经济间谍活动感兴趣的黑客团体或POS恶意软件菌株的运营商开发的工具。

TrickBot团伙不太可能为民族国家的黑客团体开发隐形的TrickBot Anchor模块。但是,它确实找到了他们的客户。

SentinelOne表示,将朝鲜拉撒路集团的攻击与TrickBot及其新的Anchor攻击框架联系在一起。

在今天其公布的报告中,SentinelOne说,他们发现其中拉撒路集团似乎是通过已出租给受感染的系统访问的情况下,TrickBot僵尸网络,然后用锚攻击框架(TrickBot模块)安装PowerRatankba在网络上,PowerShell的后门,被黑的公司。

SentinelOne并未详细说明Lazarus Group在被黑客入侵的公司网络上所做的事情,但众所周知,北韩黑客涉足网络间谍活动和出于经济动机的攻击。

今年早些时候,美国财政部对与三个朝鲜黑客组织有关的实体实施了制裁,这些组织被发现从银行和加密货币交易所窃取钱财以资助该国的武器计划。

但是,朝鲜黑客并不是Anchor的唯一客户。

Cyber​​eason并未看到Lazarus集团使用Anchor,而是看到了“使用Anchor的针对金融,制造和零售业务的新一轮针对性活动,始于10月初”。

“与先前报道的与Trickbot相关的攻击导致大规模勒索软件感染不同,这一新的攻击浪潮着重于通过破坏受害者的关键资产,从POS(销售点)系统和受害者网络中的其他敏感资源中窃取敏感信息。网络”,Cyber​​eason小组说。

研究人员补充说:“这些攻击进一步强调了商品恶意软件感染所带来的危险,由于它们的通用性和高数量,有时可能被低估了。”

“重要的是要记住,一旦端点感染了某种恶意软件,则要由攻击者决定如何进行。”

免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢:

最新文章: