Các biến thể TrickBot Linux hoạt động trở lại sau khi bị triệt phá

Những nỗ lực của liên minh công nghệ nhằm triệt hạ TrickBot có thể đã làm sập hầu hết cơ sở hạ tầng quan trọng của mạng botnet khét tiếng này. Tuy nhiên, những tội phạm mạng đứng sau mã độc đã không chấp nhận công sức của mình bị đánh sập vĩnh viễn. 



Theo những phát hiện mới của công ty an ninh mạng Netscout , nhóm tin tặc đứng sau TrickBot đã chuyển các phần code của chúng sang Linux để mở rộng phạm vi tấn công và nhắm tới nhiều nạn nhân hơn.



TrickBot xuất hiện lần đầu vào năm 2016 dưới dạng một trojan ngân hàng và là một crimeware dựa trên Windows. Nó sử dụng nhiều module khác nhau để thực hiện các hành vi độc hại trên hệ thống của nạn nhân như đánh cắp thông tin xác thực, hay tiến hành các cuộc tấn công ransomware .



Nhưng trong vài tuần qua, liên minh công nghệ do Bộ chỉ huy không gian mạng Hoa Kỳ và Microsoft dẫn đầu đã giúp loại bỏ 94% máy chủ command-and-control (C2) của TrickBot. Trong đó bao gồm những máy chủ đang được sử dụng và cơ sở hạ tầng mới mà nhóm tin tặc TrickBot đang cố đưa lên internet để thay thế cho các máy chủ đã bị vô hiệu hóa trước đó.



Bất chấp những nỗ lực bỏ ra để cản trở TrickBot, Microsoft cảnh báo những tội phạm mạng đứng sau mạng botnet nhiều khả năng sẽ tìm mọi cách để khôi phục hoạt động của chúng.



Anchor Module của TrickBot



Vào cuối năm 2019, một backdoor framework của TrickBot có tên là Anchor đã bị phát hiện đang sử dụng giao thức DNS để lén lút giao tiếp với các máy chủ C2.



Module này “cho phép kẻ tấn công sử dụng framework và nhắm tới các nạn nhân cấp cao hơn. Đồng thời, khả năng tích hợp tấn công APT vào một mô hình kinh doanh thu lợi nhuận đã cho thấy sự phát triển vượt bậc của mã độc này,” SentinelOne cho biết.



Bằng chứng là tháng 4 vừa qua, IBM X-Force đã phát hiện Trickbot đang hợp tác với nhóm tin tặc FIN6 để tạo ra một chiến dịch tấn công mạng mới sử dụng Anchor framework và nhắm tới nhiều tổ chức khác nhau vì lợi ích tài chính.



Theo một báo cáo năm 2019 của các nhà nghiên cứu NTT, biến thể có tên  “Anchor_DNS” này cho phép máy khách bị nhiễm độc sử dụng DNS tunneling để thiết lập liên lạc với máy chủ C2, từ đó truyền dữ liệu với các IP đã phân giải dưới dạng phản hồi.



Nhưng một mẫu mã độc do nhà nghiên cứu Waylon Grange của công ty Stage 2 Security phát hiện vào tháng 7 cho thấy Anchor_DNS đã được chuyển sang phiên bản Linux backdoor mới có tên là “ Anchor_Linux .”



“Mã độc này thường được phân phối dưới dạng một phần của file zip, và là một Linux backdoor hạng nhẹ,” Grange nói. “Sau khi thực thi, nó sẽ tự cài đặt như một tiện ích cron , xác định địa chỉ IP công khai cho máy chủ, sau đó bắt đầu báo hiệu thông qua truy vấn DNS tới máy chủ C2.”



Cách máy chủ C2 giao tiếp khi sử dụng Anchor



Nghiên cứu mới nhất của Netscout đã giải mã cách bot và máy chủ C2 giao tiếp với nhau. Trong giai đoạn thiết lập ban đầu, máy khách sẽ gửi “c2_command 0” tới máy chủ cùng với thông tin về hệ thống bị xâm phạm và ID bot. Sau đó máy chủ sẽ phản hồi lại bằng thông báo “signal /1/” cho bot.



Để xác nhận, bot sẽ gửi một thông báo tương tự tới máy chủ C2, sau đó máy chủ đưa ra lệnh từ xa để thực thi trên máy khách. Ở bước cuối cùng, bot sẽ gửi lại kết quả thực thi đến máy chủ C2.



“Mỗi lần giao tiếp với máy chủ C2 đều tuân theo một chuỗi 3 truy vấn DNS khác nhau,” nhà nghiên cứu bảo mật Suweera De Souza của Netscout cho biết.



Danh sách các bản ghi IP biểu thị dữ liệu tương ứng với payload



Kết quả của truy vấn thứ ba là danh sách các địa chỉ IP, mà sau đó sẽ được máy khách phân tích để xây dựng payload thực thi.



Phần dữ liệu cuối cùng được gửi bởi máy chủ C2 tương ứng với một loạt lệnh (được đánh số từ 0-14 trong Windows, 0-4, 10-12 và 100 trong Linux) để bot thực thi payload qua cmd.exe, hoặc bằng cách chèn nó vào các tiến trình đang chạy như Windows File Explorer hoặc Notepad.



“Sự phức tạp trong giao tiếp giữa máy chủ C2 của Anchor và payload mà bot có có thể thực thi không chỉ cho thấy khả năng đáng kinh ngạc của những tội phạm mạng đứng sau Trickbot, mà còn cho thấy rõ năng lực thích nghi, liên tục đổi mới của nhóm tin tặc này, bằng chứng là chúng đã nhanh chóng chuyển sang nền tảng mới sau khi bị ảnh hưởng bởi vụ công phá,” De Souza nói.



Theo The Hacker News
The post Các biến thể TrickBot Linux hoạt động trở lại sau khi bị triệt phá appeared first on SecurityDaily .