Un malware Achor_Linux reciente de Trickbot está dirigido a sistemas Linux y dispositivos IoT
Recientemente, Waylon Grange, investigador de seguridad de la Etapa 2, descubrió una nueva muestra que muestra que la plataforma de malware Anchor de Trickbot ha sido portada para infectar dispositivos Linux.
Trickbot es una plataforma de malware de Windows multipropósito. Se utiliza para diversas actividades maliciosas, como robar información, contraseñas, infiltrarse en el dominio de Windows y entregar malware. Los actores de amenazas alquilaron este malware y lo usaron para infiltrarse en una red y cosechar cualquier cosa de ella. Luego se utilizó para implementar ransomware como Ryuk y Conti para encriptar los dispositivos de la red.
A fines de 2019, SentinelOne y NTT informaron sobre un nuevo marco Trickbot llamado Anchor que utiliza DNS para comunicarse con sus servidores de comando y control. Anchor_DNS se utiliza en objetivos de alto valor y alto impacto con información financiera valiosa. Los actores maliciosos lo usan para implementar ransomware y como una puerta trasera en APT como campañas.
Vital Kremez, analista de Advanced Intel, analizó el malware Anchor_Linux encontrado por Interzer Labs y dijo que, cuando está instalado, este malware se configurará para ejecutarse cada minuto usando la siguiente entrada crontab:
* / 1 * * * * root [nombre de archivo]
Este malware también contiene un ejecutable Windows TrickBot integrado. Según Interzer, este binario incrustado es un nuevo malware ligero de Trickbot que tiene el código conectado con las herramientas Trickbot más antiguas. Se utiliza para infectar máquinas con Windows en la misma red. Usando SMB y $ IPC, Anchor_linux copiará el malware Trickbot incorporado para infectar el dispositivo Windows en la red. Después de esto, Anchor_Linux lo configurará como un servicio de Windows utilizando el protocolo remoto Service Control Manager y la canalización con nombre SMB SVCCTL.
Cuando se configura el servicio, el malware se iniciará en el host de Windows. Conectará el servidor de control de comandos desde los comandos a ejecutar. También puede permitir a los atacantes apuntar a entornos que no sean de Windows, con una puerta trasera. Los atacantes utilizan esta puerta trasera para convertir el pivote a dispositivos Windows en la misma red.
Como dijo Kremez, “el malware actúa como una herramienta encubierta de persistencia de puerta trasera en un entorno UNIX que se utiliza como pivote para la explotación de Windows, así como también como un vector de ataque inicial poco ortodoxo fuera del phishing por correo electrónico. Permite que el grupo apunte e infecte servidores en un entorno UNIX (como enrutadores) y úselo para pivotar a redes corporativas “.
Incluso los dispositivos IoT como enrutadores, dispositivos VPN y dispositivos NAS que se ejecutan en el sistema operativo Linux podrían ser el objetivo de este último malware Anchor_Linux. Por lo tanto, es significativamente importante que brinde protección adecuada a su sistema Linux y dispositivos IoT.
Para los usuarios de Linux, Anchor_Linux crea un archivo de registro en /tmp/anchor.log. Entonces, si ve que este archivo existe en su sistema, debe realizar una auditoría completa de su sistema para detectar esta presencia de malware.