亞馬遜、微軟等60家高知名度公司遭受惡意軟件攻擊
研究人員警告說,網(wǎng)絡(luò)攻擊者正在用TrickBot惡意軟件攻擊60家不同的高知名度公司,其中許多公司分布在美國。根據(jù)Check Point Research(CPR)的說法,其目的是攻擊這些公司的客戶。
根據(jù)CPR周三的文章,TrickBot的攻擊目標(biāo)都是一些知名品牌,包括亞馬遜、美國運通、摩根大通、微軟、海軍聯(lián)邦信貸聯(lián)盟、貝寶、加拿大皇家銀行、雅虎以及其他公司。
研究人員在他們的報告中指出:"Trickbot攻擊高知名度公司的用戶,竊取他們的憑證,攻擊者因此可以訪問他們的敏感數(shù)據(jù),他們可以使用數(shù)據(jù)這些造成更大范圍的破壞。”
研究人員補充說,在技術(shù)方面,該攻擊活動中使用的攻擊變體增加了三個有趣的模塊,以及新的去混淆和反分析技術(shù)。
TrickBot歸來
TrickBot惡意軟件最初只是一個銀行木馬,但它現(xiàn)在已經(jīng)不僅僅是一個惡意軟件了,已經(jīng)成為了一個被廣泛利用的憑證竊取工具,該軟件通常負(fù)責(zé)在第二階段獲取惡意二進(jìn)制文件,如勒索軟件。
自從2020年10月執(zhí)法部門對其基礎(chǔ)設(shè)施進(jìn)行了依法處理后,該威脅軟件又卷土重來,現(xiàn)在其擁有20多個不同的模塊,可以根據(jù)需要下載和執(zhí)行。它通常是通過電子郵件傳播,盡管在最新的攻擊活動中增加了通過EternalRomance漏洞進(jìn)行自我傳播的方式。
CPR研究人員警告說:"此類模塊允許執(zhí)行各種惡意攻擊活動,對60家高知名度的金融(包括加密貨幣)和技術(shù)公司的客戶構(gòu)成了巨大威脅。我們看到,該惡意軟件在選擇目標(biāo)方面是非常有選擇性的"。
它還被認(rèn)為與類似的惡意軟件Emotet協(xié)同工作,后者在2021年1月遭到了執(zhí)法處理。
CPR在自己的調(diào)查中發(fā)現(xiàn),TrickBot總體上已經(jīng)有超過14萬次成功感染;研究人員指出,它又成為了最流行的惡意軟件之一。
新的攻擊感染模塊
研究人員說,CPR發(fā)現(xiàn)當(dāng)前的攻擊活動中使用的TrickBot版本有三個值得注意的更新模塊。
- l injectDll。
- l tabDll。
- l pwgrabc。
網(wǎng)絡(luò)注入模塊,TrickBot的 "injectDll"
網(wǎng)絡(luò)注入是銀行木馬最常用的手段;它們會向目標(biāo)展示一個真實銀行登錄網(wǎng)站的仿造站點,當(dāng)受害者試圖登錄時,它們就會竊取用戶的憑證數(shù)據(jù),并接下來可能還會進(jìn)行銀行賬戶盜竊以及電信詐騙。
研究人員說,這個特殊的模塊增加了一個來自臭名昭著的Zeus銀行木馬的網(wǎng)絡(luò)注入方式,它會從目標(biāo)網(wǎng)站的登錄操作中收集信息并將其發(fā)送到一個命令和控制服務(wù)器(C2)。
根據(jù)報道,injectDll模塊執(zhí)行瀏覽器數(shù)據(jù)注入,針對60家高知名度公司的網(wǎng)站進(jìn)行攻擊,加上Trickbot對受害者進(jìn)行的有選擇的攻擊,這種威脅將會變得更加危險。
研究人員說,在反分析方面,注入銀行網(wǎng)站頁面的有效載荷被最小化(使代碼大小變小或者使代碼不可讀),載荷被混淆并使用了反混淆技術(shù)。他們說,最終的有效載荷,功能包含了抓取受害者的按鍵信息和網(wǎng)絡(luò)表單提交動作的監(jiān)聽。
他們解釋說:"通常情況下,研究人員會試圖使用JavaScript Beautifiers、de4js等去混淆器等工具來分析被混淆的JavaScript代碼。在我們應(yīng)用這些工具后,我們注意到,雖然代碼變得可讀了,但代碼也無法正常運行了。"
他們觀察到的另一種反分析技術(shù)涉及研究人員向C2發(fā)送自動請求以獲得更新的網(wǎng)絡(luò)注入內(nèi)容階段。如果請求中沒有'Refer'頭,服務(wù)器將不會返回有效的網(wǎng)絡(luò)注入內(nèi)容。
Gurucul公司的研究人員通過電子郵件表示,我們不僅觀察到了最近成功創(chuàng)建的惡意軟件變體,而且我們甚至還看到了威脅攻擊者甚至使用了二十年前的惡意軟件生成的新變體。從TrickBot可以看出,即使一個威脅行為者集團已經(jīng)被瓦解,但是他們的攻擊工具還會繼續(xù)存在,因為其他犯罪集團可以繼續(xù)使用他們的工具、戰(zhàn)術(shù)和程序,并對此進(jìn)行自己的修改,繞過當(dāng)前的檢測技術(shù)。
TrickBot的'tabDLL'模塊
第二個新功能是增加了一個動態(tài)鏈接庫(DLL),也可用于抓取用戶的憑證。研究人員指出,其最終目的是通過網(wǎng)絡(luò)共享協(xié)議傳播惡意軟件。
正如CPR所述,tabDLL分多個步驟進(jìn)行了攻擊,按順序,該模塊做了以下工作。
- 啟用LSASS應(yīng)用程序中的用戶憑證信息存儲。
- 將 "Locker "模塊注入合法的explorer.exe應(yīng)用程序中。
- 從被感染的explorer.exe中,強迫用戶向應(yīng)用程序輸入登錄憑證,然后鎖定用戶的會話。
- 將憑證存儲在LSASS應(yīng)用程序的內(nèi)存中。
- 使用Mimikatz從LSASS應(yīng)用程序內(nèi)存中獲取憑證,這是一個開源工具,用于從應(yīng)用程序的內(nèi)存中提取數(shù)據(jù)。
- 向C2報告憑證。
- 并且,利用EternalRomance漏洞通過SMBv1網(wǎng)絡(luò)共享協(xié)議傳播到網(wǎng)絡(luò)內(nèi)的其他目標(biāo)。
TrickBot的'pwgrabc'模塊
pwgrabc模塊,正如它的名字所示,這是一個可以用于各種應(yīng)用程序的全能憑證竊取器。
研究人員總結(jié)說,該活動使用了各種工具進(jìn)行了很好的攻擊組合。
他們說:"根據(jù)我們的技術(shù)分析,我們可以看到TrickBot開發(fā)者的開發(fā)技能從一個非常低的水平提升到了可以進(jìn)行惡意軟件開發(fā)的水平,而且非常注意小細(xì)節(jié)。同時我們知道,這些基礎(chǔ)設(shè)施的運營商在高水平的惡意軟件開發(fā)方面也非常有經(jīng)驗。TrickBot目前仍然是一個非常危險的威脅"。
本文翻譯自:https://threatpost.com/trickbot-amazon-paypal-top-brands/178483/如若轉(zhuǎn)載,請注明原文地址。
