Um malware recente do Achor_Linux do Trickbot está direcionado para sistemas Linux e dispositivos de IoT
Recentemente, Waylon Grange, pesquisador de segurança do estágio 2, descobriu uma nova amostra que mostra que a plataforma de malware Anchor do Trickbot foi portada para infectar dispositivos Linux.
O Trickbot é uma plataforma de malware multiuso para Windows. É usado para várias atividades maliciosas, como roubo de informações, senhas, infiltração no domínio do Windows e entrega de malware. Os atores de ameaças alugaram esse malware e o usaram para se infiltrar em uma rede e coletar qualquer coisa. Em seguida, foi usado para implantar ransomware como Ryuk e Conti para criptografar os dispositivos da rede.
No final de 2019, o SentinelOne e a NTT relataram uma nova estrutura do Trickbot chamada Anchor, que utiliza o DNS para se comunicar com seus servidores de comando e controle. O Anchor_DNS é usado em destinos de alto valor e alto impacto com informações financeiras valiosas. Os atores maliciosos o usam para implantar ransomware e como um backdoor nas campanhas do APT.
Vital Kremez, analista da Advanced Intel, analisou o malware Anchor_Linux encontrado pela Interzer Labs e disse que, quando instalado, esse malware se configurará para ser executado a cada minuto usando a seguinte entrada crontab:
* / 1 * * * * root [nome do arquivo]
Esse malware também contém um executável incorporado do Windows TrickBot. Segundo a Interzer, esse binário incorporado é um novo malware leve do Trickbot, com o código conectado às ferramentas mais antigas do Trickbot. É usado para infectar máquinas Windows na mesma rede. Usando SMB e $ IPC, o Anchor_linux copiará o malware incorporado do Trickbot para infectar o dispositivo Windows na rede. Depois disso, o Anchor_Linux o configurará como um serviço do Windows usando o protocolo Remoto do Service Control Manager e o pipe nomeado SMB SVCCTL.
Quando o serviço é configurado, o malware será iniciado no host do Windows. Ele conectará o servidor de controle de comando dos comandos a serem executados. Ele também permite que os atacantes tenham como alvo um ambiente não Windows, com um backdoor. Esse backdoor é usado pelos atacantes para converter o pivô em dispositivos Windows na mesma rede.
Como Kremez disse: “O malware atua como uma ferramenta secreta de persistência de backdoor no ambiente UNIX usado como um pivô para a exploração do Windows e também como um vetor de ataque inicial não-ortodoxo fora do phishing de e-mail. Ele permite ao grupo direcionar e infectar servidores no ambiente UNIX. (como roteadores) e use-o para dinamizar as redes corporativas. ”
Até dispositivos IoT, como roteadores, dispositivos VPN e NAS, executados no sistema operacional Linux, podem ser o alvo deste último malware Anchor_Linux. Portanto, é significativamente importante fornecer proteção adequada ao seu sistema Linux e dispositivos de IoT.
Para usuários do Linux, o Anchor_Linux cria um arquivo de log em /tmp/anchor.log. Portanto, se você vir esse arquivo no seu sistema, faça uma auditoria completa no seu sistema para detectar esta presença de malware.