Nworm TrickBot木马,用于静默恶意软件传播模块
Trickbot银行木马程序提供了一个新的恶意软件模块,该模块在没有任何检测的情况下秘密地攻击Windows域控制器。过去,我们发现Trickbot恶意软件中添加了许多新模块,并且不断获取新的附加模块,因此它可以秘密执行多种类型的恶意活动。 Trickbot木马可以窃取cookie,活动目录服务数据库,Open SSHKeys,PuTTY凭据等。网络犯罪分子与TrickBot合作,在目标网络上获得秘密访问以进行勒索软件攻击。 什么是Nworm 根据Palo Alto Unit 42的报告,该欺骗机器人发布了新版本的网络传播模块,即“ nworm”,并且可以避免由于攻击Windows域控制器而被检测到。成功安装后,此特技机器人会对运行环境进行快速分析,并秘密下载后门中的多个模块以执行预定义的恶意活动。它会感染PC以及网络。 过去,我们已经看到,特技机器人如何在“ Windows Active Directory”环境中成功下载“ mworm”和“ mshare”等模块,并成功感染易受攻击的域控制器。该模块利用SMB漏洞攻击域控制器。 Trickbot从2019年9月开始使用Mworm,它将Mrick可执行文件以未加密的形式传输到目标漏洞域控制器。 到2020年3月的攻击流 由于恶意软件可执行文件未加密,因此DC中存在的安全应用程序可以对其进行检测并在复制后将其删除。 因此,开发人员于2020年4月推出了一个新的更新模块,即“ Nworm”,这很难被发现。...
