Операторы, стоящие за вредоносной программой TrickBot, вновь укрепляют свои позиции за счет расширения каналов распространения своего вредоноса, что в конечном итоге ведет к широчайшему развертыванию шифровальщиков, таких как Conti.
Согласно отчету IBM X-Force, злоумышленник, отслеживаемый под псевдонимами ITG23 и «Wizard Spider», сотрудничает с другими кибер-преступными группировками, известными как Hive0105, Hive0106 (он же TA551 или Shathak) и Hive0107, пополняя растущее число кампаний, которые хакеры используют для доставки собственных вредоносных программ.
«Эти и другие киберпреступники заражают корпоративные сети вредоносным ПО, перехватывая потоки электронной почты, используя поддельные формы опроса клиентов и социальную инженерию с помощью поддельного колл-центра, известного как BazarCall» - заявили исследователи Оле Вилладсен и Шарлотта Хаммонд.
С момента появления на рынке угроз в 2016 году TrickBot превратился из банковского трояна в модульное кибер-преступное решение на базе Windows. Он отличается своей устойчивостью, демонстрируя способность поддерживать и обновлять свой набор инструментов и инфраструктуру несмотря на многочисленные попытки правоохранительных органов и отраслевых групп безопасности уничтожить его. Помимо TrickBot, группе Wizard Spider приписывают разработку BazarLoader и бэкдора под названием Anchor.
Если проведенные в начале этого года атаки основывались на кампаниях по рассылке документов Excel по электронной почте и поддельном колл-центре BazaCall для доставки вредоносного ПО корпоративным пользователям, то последние вторжения - начавшиеся примерно в июне 2021 года - были отмечены партнерством с двумя кибер-преступными филиалами для расширения инфраструктуры распространения за счет использования перехваченных потоков электронной почты и мошеннических форм опроса клиентов на веб-сайтах организаций для развертывания Cobalt Strike.
«Этот шаг не только увеличил объем попыток доставки, но и разнообразил методы с целью заразить больше потенциальных жертв, чем когда-либо» - сообщают исследователи.
В одной цепочке заражения, замеченной IBM в конце августа 2021 года, филиал Hive0107 применил новую тактику, которая заключается в отправке сообщений электронной почты целевым компаниям с информацией о том, что их веб-сайты совершали распределенные DDoS-атаки на серверы третьей компании, призывая получателей нажать на ссылку для получения дополнительных доказательств. После перехода по ссылке загружается ZIP-архив, содержащий вредоносный загрузчик JavaScript, который, в свою очередь, обращается к удаленному URL-адресу для получения вредоносного ПО BazarLoader и дальнейшего сброса Cobalt Strike и TrickBot.
«ITG23 также адаптировалась к экономике вымогательства, создав Conti ransomware-as-a-service (RaaS) и используя свои вредоносы BazarLoader и Trickbot, чтобы закрепиться в инфраструктуре жертвы и провести атаку шифровальщиком» - заключили исследователи. «Это последнее событие демонстрирует прочность связей в экосистеме кибер-преступности и способность злоумышленников использовать эти связи для увеличения числа организаций, зараженных вредоносным ПО».
Источник: https://thehackernews.com
