Un récent malware Achor_Linux de Trickbot cible les systèmes Linux et les appareils IoT
Récemment, Waylon Grange, chercheur en sécurité de niveau 2, a découvert un nouvel exemple qui montre que la plate-forme de logiciels malveillants Anchor de Trickbot a été portée pour infecter les appareils Linux.
Trickbot est une plate-forme de logiciels malveillants Windows polyvalente. Il est utilisé pour diverses activités malveillantes telles que le vol d’informations, les mots de passe, l’infiltration du domaine Windows et la diffusion de logiciels malveillants. Les acteurs de la menace ont loué ce malware et l’ont utilisé pour infiltrer un réseau et en récolter tout. Il a ensuite été utilisé pour déployer des ransomwares tels que Ryuk et Conti pour crypter les appareils du réseau.
Fin 2019, SentinelOne et NTT ont signalé un nouveau framework Trickbot nommé Anchor qui utilise le DNS pour communiquer avec ses serveurs de commande et de contrôle. Anchor_DNS est utilisé sur des cibles de grande valeur et à fort impact avec des informations financières précieuses. Les acteurs malveillants l’utilisent pour déployer des ransomwares et comme une porte dérobée dans des campagnes de type APT.
Vital Kremez, analyste d’Advanced Intel, a analysé le malware Anchor_Linux trouvé par Interzer Labs et a déclaré que, une fois installé, ce malware se configurera pour s’exécuter toutes les minutes en utilisant l’entrée crontab suivante:
* / 1 * * * * racine [nom de fichier]
Ce malware contient également un exécutable Windows TrickBot intégré. Selon Interzer, ce binaire intégré est un nouveau malware Trickbot léger dont le code est connecté aux anciens outils Trickbot. Il est utilisé pour infecter la machine Windows sur le même réseau. En utilisant SMB et $ IPC, Anchor_linux copiera le malware Trickbot intégré pour infecter le périphérique Windows sur le réseau. Après cela, Anchor_Linux le configurera comme un service Windows en utilisant le protocole Service Control Manager Remote et le tube nommé SMB SVCCTL.
Lorsque le service est configuré, le logiciel malveillant sera lancé sur l’hôte Windows. Il connectera le serveur de contrôle de commande à partir des commandes à exécuter. Il peut également permettre aux attaquants de cibler un environnement non Windows avec une porte dérobée. Cette porte dérobée est utilisée par les attaquants pour convertir le pivot en appareils Windows sur le même réseau.
Comme l’a dit Kremez, «le malware agit comme un outil de persistance de porte dérobée dans l’environnement UNIX utilisé comme pivot pour l’exploitation de Windows et utilisé comme vecteur d’attaque initiale peu orthodoxe en dehors du phishing par courrier électronique. Il permet au groupe de cibler et d’infecter des serveurs dans un environnement UNIX. (comme les routeurs) et utilisez-le pour basculer vers les réseaux d’entreprise. »
Même les appareils IoT tels que les routeurs, les appareils VPN et les appareils NAS exécutés sur Linux OS pourraient être la cible de ce dernier malware Anchor_Linux. Il est donc très important pour vous de fournir une protection adéquate à votre système Linux et aux appareils IoT.
Pour les utilisateurs Linux, Anchor_Linux crée un fichier journal dans /tmp/anchor.log. Donc, si vous voyez que ce fichier existe sur votre système, vous devez effectuer un audit complet de votre système pour détecter la présence de logiciels malveillants.