• perezrinconclaudia

Claudia Rincon Perez: TrickBot Malware Gang actualiza su puerta trasera AnchorDNS a AnchorMail


Incluso cuando la infraestructura de TrickBot cerró, los operadores del malware continúan refinando y reestructurando su arsenal para llevar a cabo ataques que culminaron en la implementación del ransomware Conti, señaló Claudia Rincón Pérez, CEO de Factoría IT.


IBM Security X-Force, que descubrió la versión renovada de la puerta trasera AnchorDNS de la banda criminal , denominó AnchorMail a la nueva variante mejorada.


AnchorMail "utiliza un servidor [de comando y control] basado en correo electrónico con el que se comunica utilizando los protocolos SMTP e IMAP sobre TLS", dijo la ingeniera inversa de malware de IBM, Charlotte Hammond . "Con la excepción del mecanismo de comunicación C2 revisado, el comportamiento de AnchorMail se alinea mucho con el de su predecesor AnchorDNS".


El actor de ciberdelincuencia detrás de TrickBot, ITG23, también conocido como Wizard Spider, también es conocido por su desarrollo del marco de malware Anchor, una puerta trasera reservada para apuntar a víctimas seleccionadas de alto valor desde al menos 2018 a través de TrickBot y BazarBackdoor (también conocido como BazarLoader), un implante adicional diseñado por el mismo grupo


A lo largo de los años, el grupo también se ha beneficiado de una relación simbiótica con el cártel de ransomware Conti, y este último aprovecha las cargas útiles de TrickBot y BazarLoader para afianzarse en la implementación del malware de cifrado de archivos.


"Para fines de 2021, Conti esencialmente había adquirido TrickBot, con múltiples desarrolladores y gerentes de élite que se unieron a la cosa nostra del ransomware", señaló Yelisey Boguslavskiy de AdvIntel en un informe publicado a mediados de febrero.


Menos de 10 días después, los actores de TrickBot cerraron su infraestructura de botnet luego de una pausa inusual de dos meses en las campañas de distribución de malware, marcando un giro que probablemente canalice sus esfuerzos hacia familias de malware más sigilosas como BazarBackdoor.


En medio de todos estos desarrollos, la puerta trasera de AnchorDNS ha recibido un lavado de cara propio. Mientras que el predecesor se comunica con sus servidores C2 mediante túneles DNS , una técnica que implica el abuso del protocolo DNS para colar tráfico malicioso más allá de las defensas de una organización, la versión más nueva basada en C++ utiliza mensajes de correo electrónico especialmente diseñados.


"AnchorMail usa el protocolo SMTPS encriptado para enviar datos al C2 e IMAPS se usa para recibirlos", señaló Hammond, y agregó que el malware establece persistencia al crear una tarea programada que está configurada para ejecutarse cada 10 minutos. Servidor C2 para buscar y ejecutar cualquier comando que se ejecute.


Los comandos incluyen la capacidad de ejecutar archivos binarios, DLL y shellcode recuperados del servidor remoto, iniciar comandos de PowerShell y eliminarse de los sistemas infectados.


"El descubrimiento de esta nueva variante de Anchor agrega una nueva puerta trasera sigilosa para usar durante los ataques de ransomware y destaca el compromiso del grupo para actualizar su malware", dijo Hammond. "[AnchorMail] hasta ahora solo se ha observado apuntando a sistemas Windows. Sin embargo, como AnchorDNS se ha portado a Linux , parece probable que también surja una variante Linux de AnchorMail".

5 visualizaciones0 comentarios