0
0
Em uma ruptura com o precedente, o grupo de ameaças Trickbot, até então puramente financeiramente motivado da Rússia, tem atacado sistematicamente alvos na Ucrânia nos últimos três meses, aparentemente em apoio aos interesses do governo russo na região.
Pesquisadores do grupo de inteligência contra ameaças X-Force da IBM esta semana disseram que descobriram duas campanhas – e analisaram outras quatro que a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) divulgou – onde Trickbot foi atrás de alvos na Ucrânia. As campanhas começaram após a invasão da Ucrânia pela Rússia em fevereiro e tiveram como alvo autoridades estaduais ucranianas, organizações governamentais, indivíduos específicos e a população em geral. Vários dos ataques envolveram e-mails de phishing com vários temas projetados para chamar a atenção dos usuários ucranianos — incluindo alguns relacionados à guerra.
Os ataques destacam uma mudança sem precedentes para o Trickbot, e é notável porque os grupos de ameaças nos estados da antiga União Soviética geralmente evitam atacar alvos nos países um do outro, disse a IBM.
Antes da invasão russa, o ITG23, que é o nome pelo qual a IBM rastreia Trickbot, não era conhecido por atingir a Ucrânia. “Muito do malware do grupo foi configurado para não ser executado em sistemas se o idioma ucraniano fosse detectado”, disse a IBM em um relatório resumindo suas descobertas esta semana. “As campanhas do ITG23 contra a Ucrânia são notáveis devido à medida em que essa atividade difere do precedente histórico e ao fato de que essas campanhas pareciam especificamente voltadas para a Ucrânia, com algumas cargas úteis que sugerem um maior grau de seleção de alvos.”
Várias Ferramentas de Malware
A IBM disse que observou a Trickbot distribuindo várias ferramentas de malware conhecidas, como IcedID, Cobalt Strike, AnchorMail e Meterpreter em seus ataques a alvos ucranianos. Alguns dos ataques envolveram o uso de novas ferramentas, como um downloader malicioso do Excel, um arquivo autoextraível para descartar várias cargas úteis de malware e uma nova ferramenta de criptografia e ofuscação de malware.
Uma das duas campanhas Trickbot que a IBM descobriu foi no início de maio. Nesses ataques, a IBM observou o ator de ameaças usando um arquivo Excel armado para baixar seu backdoor AnchorMail em sistemas comprometidos. AnchorMail é uma versão renovada do AnchorDNS da Trickbot, um backdoor que membros do grupo Conti, intimamente afiliado, têm usado para implantar o ransomware Conti. Os pesquisadores do IBM X-Force descreveram anteriormente o malware como notável por se comunicar com seu servidor de comando e controle (C2) usando o protocolo DNS.
A segunda campanha recente do Trickbot que os pesquisadores do IBM X-Force detectaram ocorreu provavelmente no final de maio ou início de junho. Nessa campanha, os atores do Trickbot usaram um arquivo de imagem ISO — ou arquivo contendo o conteúdo de um disco óptico — como parte de uma cadeia de ataque para soltar o kit de ataque pós-exploração do Cobalt Strike no sistema alvo. Em junho, os usuários do Trickbot foram observados explorando o chamado bug de dia zero “Follina” na Ferramenta de Diagnóstico de Suporte da Microsoft do Windows (MSDT) para implantar o Cobalt Strike.
As campanhas que o CERT-UA divulgou, e que os pesquisadores do IBM X-Force analisaram, envolveram tentativas do Trickbot de implantar o IcedID, um Trojan bancário que se tornou distribuidor de malware; carga útil de ataque Metasploit, Meterpreter; e Cobalt Strike. Em cinco das seis campanhas observadas, os atores do Trickbot baixaram diretamente Cobalt Strike, AnchorMail ou Meterpreter nos sistemas de destino — outra ruptura de seu hábito habitual de implantar essas ferramentas como cargas secundárias. A IBM disse que a mudança sugere que “esses ataques fazem parte de campanhas direcionadas durante as quais a ITG23 está disposta a implantar imediatamente backdoors de maior valor”.
A IBM descreveu o novo downloader malicioso do Excel que o Trickbot está usando nos ataques ucranianos como projetado para baixar malware de uma URL codificada. O downloader é armazenado como uma macro no arquivo do Excel e é executado automaticamente se o arquivo for aberto, desde que o usuário tenha as macros ativadas. O novo conta-gotas para o AnchorMail que a IBM observou está na forma de um Arquivo de Autoextração WinRAR. O conta-gotas é manipulado para extrair e executar um script para criar e configurar o AnchorMail em sistemas infectados.
Trickbot é um grupo de ameaças altamente bem-sucedido que existe desde pelo menos 2016. O grupo inicialmente usou seu malware de nome homônimo para roubar credenciais de contas bancárias. Ao longo dos anos, o grupo evoluiu para uma espécie de corretor de acesso inicial e um distribuidor de várias ferramentas de ransomware e malware, mais notavelmente Conti e Ryuk e Emotet. O Trickbot é usado várias maneiras para roubar dados, permitir a criptografia, enumerar sistemas e outras atividades maliciosas.
Documentos judiciais relacionados à prisão de um membro-chave do grupo no ano passado mostraram que quase 20 cibercriminosos — incluindo vários especialistas em malware — colaboraram na construção do malware. Uma enorme operação internacional de aplicação da lei de 2020 para derrubar o ator da ameaça interrompeu temporariamente suas atividades, mas não conseguiu detê-las.
FONTE: DARK READING