Die aktuelle Achor_Linux-Malware von Trickbot zielt auf Linux-Systeme und IoT-Geräte ab
Kürzlich hat Waylon Grange, Sicherheitsforscher der Stufe 2, ein neues Beispiel entdeckt, das zeigt, dass die Anchor-Malware-Plattform von Trickbot zur Infektion von Linux-Geräten portiert wurde.
Trickbot ist eine vielseitige Windows-Malware-Plattform. Es wird für verschiedene böswillige Aktivitäten verwendet, z. B. zum Stehlen von Informationen, Kennwörtern, Infiltrieren der Windows-Domäne und Bereitstellen von Malware. Bedrohungsakteure haben diese Malware gemietet und damit ein Netzwerk infiltriert und alles daraus gewonnen. Es wurde dann verwendet, um Ransomware wie Ryuk und Conti bereitzustellen, um die Geräte des Netzwerks zu verschlüsseln.
Ende 2019 meldeten SentinelOne und NTT ein neues Trickbot-Framework namens Anchor, das DNS für die Kommunikation mit seinen Befehls- und Steuerungsservern verwendet. Der Anchor_DNS wird für hochwertige, wirkungsvolle Ziele mit wertvollen Finanzinformationen verwendet. Die böswilligen Akteure verwenden es für die Bereitstellung von Ransomware und mögen eine Hintertür in APT-ähnlichen Kampagnen.
Vital Kremez, Analyst von Advanced Intel, analysierte die von Interzer Labs gefundene Anchor_Linux-Malware und sagte, dass sich diese Malware bei der Installation so konfiguriert, dass sie jede Minute mit dem folgenden Crontab-Eintrag ausgeführt wird:
* / 1 * * * * root [Dateiname]
Diese Malware enthält auch eine eingebettete ausführbare Windows TrickBot-Datei. Laut Interzer handelt es sich bei dieser eingebetteten Binärdatei um eine neue leichte Trickbot-Malware, deren Code mit den älteren Trickbot-Tools verbunden ist. Es wird verwendet, um Windows-Computer im selben Netzwerk zu infizieren. Mit SMB und $ IPC kopiert Anchor_linux die eingebettete Trickbot-Malware, um Windows-Geräte im Netzwerk zu infizieren. Danach konfiguriert Anchor_Linux es als Windows-Dienst unter Verwendung des Remote-Protokolls von Service Control Manager und der SMB-SVCCTL-Named-Pipe.
Wenn der Dienst konfiguriert ist, wird die Malware auf dem Windows-Host gestartet. Es verbindet den Befehlssteuerungsserver mit den auszuführenden Befehlen. Dadurch können die Angreifer auch mit einer Hintertür auf Nicht-Windows-Umgebungen abzielen. Diese Hintertür wird von den Angreifern verwendet, um den Pivot in Windows-Geräte im selben Netzwerk zu konvertieren.
Wie Kremez sagte: “Die Malware fungiert in der UNIX-Umgebung als verdecktes Backdoor-Persistenz-Tool, das als Dreh- und Angelpunkt für die Windows-Ausnutzung sowie als unorthodoxer anfänglicher Angriffsvektor außerhalb des E-Mail-Phishing verwendet wird. Sie ermöglicht es der Gruppe, Server in der UNIX-Umgebung als Ziel festzulegen und zu infizieren.” (z. B. Router) und verwenden Sie diese Option, um in Unternehmensnetzwerke zu wechseln. “
Selbst IoT-Geräte wie Router, VPN-Geräte und NAS-Geräte, die unter Linux ausgeführt werden, könnten das Ziel dieser neuesten Anchor_Linux-Malware sein. Daher ist es für Sie von großer Bedeutung, Ihr Linux-System und Ihre IoT-Geräte angemessen zu schützen.
Für Linux-Benutzer erstellt Anchor_Linux eine Protokolldatei unter /tmp/anchor.log. Wenn Sie also feststellen, dass diese Datei auf Ihrem System vorhanden ist, sollten Sie eine vollständige Überprüfung Ihres Systems auf diese Malware-Präsenz durchführen.