https://thehackernews.com/2022/03/trickbot-malware-gang-upgrades-its.html
TrickBotインフラストラクチャが閉鎖されたとしても、マルウェアのオペレーターは、Contiランサムウェアの展開に至った攻撃を実行するために、武器の改良と改造を続けています。
犯罪組織のAnchorDNSバックドアの改良版を発見したIBMSecurity X-Forceは、アップグレードされた新しいバリアントAnchorMailを吹き替えました。
AnchorMailは、「TLSを介したSMTPおよびIMAPプロトコルを使用して通信する電子メールベースの[コマンドアンドコントロール]サーバーを使用します」とIBMのマルウェアリバースエンジニアであるCharlotteHammond氏は述べています。
これは、TrickBotとBazarBackdoor(別名BazarLoader)を介して、選択された高価値の被害者を標的にするために予約されたバックドアです。
「AnchorMailは暗号化されたSMTPSプロトコルを使用してC2にデータを送信し、IMAPSを使用してデータを受信します」とハモンド氏は述べ、マルウェアを追加すると、10分ごとに実行するように設定されたスケジュールされたタスクを作成し、C2に連絡してフォローアップすることで永続性を確立します。
「この新しいアンカーバリアントの発見により、ランサムウェア攻撃中に使用するための新しいステルスバックドアが追加され、マルウェアのアップグレードに対するグループの取り組みが浮き彫りになりました」とハモンド氏は述べています。
TrickBot Malware GangがAnchorDNSバックドアをAnchorMailにアップグレードします。noreply@ blogger.com(Ravie Lakshmanan)
security summary
コメント