Kao dugogodišnja platforma za distribuciju glavnih softvera za iznudu otkupa kao što je Ryuk, TrickBot je i dalje pretnja uprkos nedavnom uklanjanju njegovih servera
Šta je TrickBot?
TrickBot je jedan od najdugovečnijih botneta na Internetu i predstavlja glavnu pretnju za preduzeća i druge organizacije jer služi kao platforma za distribuciju zloglasnog softvera za iznudu otkupa Ryuk i drugih pretnji. U oktobru je Microsoft, zajedno sa nekoliko partnera, pokrenuo koordinisanu akciju da poremeti infrastrukturu za komandu i kontrolu botneta (C2), a dok je bitka za kontrolu botneta u toku, banda TrickBot već ima rezervni plan: jedan još skriveniji kriminalni alat koji razvijaju od ranije ove godine.
„TrickBot je od kraja 2016. godine zarazio preko milion računarskih uređaja širom sveta “, naveo je Microsoft kada je najavio operaciju uklanjanja TrickBot-a. „Iako je tačan identitet operatera nepoznat, istraživanja pokazuju da oni služe i državama i kriminalnim mrežama za različite ciljeve.“
Razvoj TrickBot-a
TrickBot, poznat i kao TrickLoader, započeo je kao trojanski program fokusiran na krađu akreditiva za mrežno bankarstvo i sesije pregledanja kako bi pokrenuo lažne prenose direktno sa računara žrtava. Smatra se naslednikom Dyre ili Dyreza Trojan, koji se i sam odvojio od operacije GameOver Zeus i veće grupe za sajber kriminal iza nje, poznate kao Business Club. Uspon bankarskih trojanaca tokom protekle decenije stvorio je model kriminala kao usluge koji pokreće današnju ekonomiju sajber kriminala. TrickBot je glavni primer tog razvoja.
Zahvaljujući svojoj modularnoj arhitekturi, TrickBot se razvio u višenamensku platformu čije mogućnosti daleko premašuju krađu akreditiva za mrežno bankarstvo. Istraživači antivirusne kompanije ESET koji su pratili ovaj botnet od njegovih ranih početaka otkrili su preko 28 različitih dodataka razvijenih za njega. Ovi moduli dodali su funkcije poput RDP skeniranja, pretraživanja e-pošte, udaljene radne površine zasnovane na VNC-u, bočno kretanje nalik na crve kroz zloupotrebe SMB EternalRomance i EternalBlue i još mnogo toga.
„Samo u 2020. godini naša automatska platforma je analizirala više od 125.000 zlonamernih uzoraka i preuzela i dešifrovala više od 40.000 konfiguracionih fajlova koje koriste različiti TrickBot moduli“, naveli su istraživači ESET-a u nedavnom izveštaju. Kompanija je bila jedan od partnera uključenih u operaciju uklanjanja koju je vodio Microsoft.
Poslednjih godina, TrickBot se sve više koristi kao sredstvo za upad i izviđanje, a ne kao tradicionalni bankarski trojanski virus, a njegovi tvorci se oslanjaju na njega kako bi pristup korporativnim mrežama prodali drugim hakerima koji žele da primene sopstveni zlonamerni softver. Dobar primer je softver za iznudu otkupa Ryuk, koji se dugo gotovo isključivo distribuirao putem TrickBot-a.
Grupa koja stoji iza Ryuka često provodi mesece mapirajući mreže sa ciljevima velike vrednosti i izvodi bočno kretanje ručnim tehnikama hakovanja. Cilj im je da steknu potpunu administrativnu kontrolu i da rasporede softver za iznudu otkupa na što više računara u jednom potezu, radi maksimalnog učinka. Iako Ryuku gotovo uvek prethodi TrickBot infekcija, ne vode sve TrickBot infekcije do Ryuka, što nagoveštava da banda koja stoji iza ovog programa za iznudu otkupa pažljivo bira svoje žrtve iz većeg broja mreža i sistema zaraženih trojanskim virusom
Pošto TrickBot pristup iznajmljuju razne grupe, zaraženi računari često završe kao domaćini nakon eksploatacije alatima kao što su PowerShell Empire, Metasploit i Cobalt Strike; alatima za krađu akreditiva kao što su Mimikatz i LaZagne; ili mrežnim alatima za izviđanje kao što su BloodHound i ADFind. Oni dopunjavaju mogućnosti već ugrađene u trojanski program i njegove dodatke.
Nedavno su istraživači iz bezbednosnih firmi Eclypsium i Advanced Intelligence primetili novi TrickBot modul koji omogućava napadačima da pretražuju pogrešne konfiguracije i ranjivosti u BIOS/UEFI firmveru ugroženih računara. U budućnosti se ova sposobnost može iskoristiti da bi se sistemi onesposobili oštećivanjem firmvera ili primenom vrlo upornih implantata zlonamernog softvera na niskom nivou koje je izuzetno teško otkriti i ukloniti.
Distribucija TrickBot-a
TrickBot se kroz istoriju distribuirao putem phishing kampanja koje sadrže zlonamerne priloge – obično Word ili Excel dokumente sa zlonamernim makroima, ali i fajlove Java Network Launch Protocol (.jnlp). Ove kampanje e-poštom su široko rasprostranjene i neselektivno ciljaju i organizacije i potrošače. Njihov mamac uključuje lažna obaveštenja o pošiljkama, fakturama, priznanicama, uplatama, deklaracijama i drugim stvarima povezanim sa finansijama, ali mogu biti inspirisana i trenutnim događajima. Na primer, neke TrickBot kampanje zabeležene ove godine pokušale su da iskoriste interesovanje javnosti za pokret Black Lives Matter i pandemiju COVID-19, pa su neke koristile zlonamerne veze do veb lokacija umesto priloga.
„Infrastruktura pošiljaoca za sve ove e-adrese takođe se razlikovala“, navodi Microsoft u izveštaju. „U većini kampanja, operatori su za distribuciju zlonamernih e-poruka koristili ugrožene legitimne račune e-pošte i ugrožene marketinške platforme. Međutim, u jednom slučaju, operateri su registrovali nekoliko domena koristeći manje popularne domene najvišeg nivoa (TLD), kao što su ‘.monster’ i ‘.us’ da kreiraju sopstveni server za poštu i šalju zlonamernu e-poštu sa adresa e-pošte definisanih od strane napadača. “
Prema telemetrijskim podacima ESET-a prikupljenim između oktobra 2019. i oktobra 2020. godine, širenje TrickBot-a je globalno, što utiče na korisnike sa svih kontinenata. Varijante TrickBot-a koje primenjuje svaka kampanja sadrže različite oznake grupe (gtag-ove), što napadačima omogućava da prate uspeh svake pojedinačne kampanje.
Čini se da i banda TrickBot ima blisku vezu sa sajber kriminalcima koji stoje iza drugog bankarskog trojanca i botneta zvanog Emotet. Ove dve porodice zlonamernog softvera se međusobno distribuiraju, pa će takođe često Emotet instalirati TrickBot na računare.
TrickBot-ovo uklanjanje i budućnost
12. oktobra 2020. godine Microsoft je objavio da je dobio sudski nalog SAD-a kojim su dozvolili njemu i njegovim partnerima da onemoguće IP adrese koje koriste C2 serveri TrickBot-a, pa da te servere i njihov sadržaj učine nedostupnim operaterima botneta. Kompanija je za sprovođenje te tehničke akcije sarađivala sa dobavljačima telekomunikacionih usluga širom sveta, kao i sa drugim industrijskim partnerima, uključujući FS-ISAC, ESET, Lumen’s Black Lotus Labs, NTT i Symantec. Akcija kompanije usledila je nakon neuspešnog pokušaja nekoliko nedelja ranije, naime US Cyber Command, da poremeti botnet gurajući na zaražene računare konfiguracione fajlove koji bi ih odsekli od C2 infrastrukture.
Prema analizi bezbednosno-obaveštajne firme Intel 471, operateri TrickBot-a su uzvratili i pokušali da povrate kontrolu nakon 13. oktobra uspostavljanjem nove infrastrukture i distribucijom novih uzoraka TrickBot-a putem Emotet-a i kampanja putem neželjene e-pošte. Međutim, broj aktivnih TrickBot C2 servera je nastavio da opada i do 6. novembra kompanija nije uspela da pronađe nijedan još uvek aktivan server. Međutim, kampanja neželjene pošte koja distribuira novu verziju TrickBot-a primećena je 9. novembra, što nagoveštava da napadači nisu odustali.
Microsoft je objavio da sarađuje sa ISP-ovima i nacionalnim CERT-ovima kako bi pomogao zaraženim korisnicima da očiste svoje računare, ali ostaje da se vidi koliko će ovo biti uspešno i da li će dugoročno značiti TrickBot-ovu smrt. Čak i ako bude, hakeri imaju pripremljen rezervni plan.
U julu 2020. istraživači iz Cybereason-a izvestili su da grupa TrickBot radi na novom skupu alata za zlonamerni softver i da je razvila program za učitavanje i zadnja vrata nazvan Bazar. Iako koristi neke tehnike i infrastrukturu kao TrickBot, ova nova porodica zlonamernog softvera razvijena je sa namerom izbegavanja, nevidljivosti i upornosti i koristi blokčejn DNS domene što je čini otpornijom na pokušaje uklanjanja.
Otkako se pojavila ova nova pretnja, zaštitarske firme su je već primetile kako primenjuje Ryuk softver za iznudu otkupa. Dakle, TrickBot grupa je već započela prelazak svojih visoko vrednih klijenata na ovaj noviji učitavač zlonamernog softvera pre nego što je bila ugrožena budućnost njenog primarnog botneta.
Prošle godine su istraživači takođe izvestili da je banda TrickBot razvila posebnu komponentu zvanu Anchor koja se činila pogodnom za grupe APT-a, signalizirajući proširenje baze klijenata bande koje uključuje državne aktere. Anchor je viđen kako isporučuje alate koji se vezuju za Lazarus, sajber špijunažu koju finansira država Severna Koreja. Ovi događaji sugerišu da čak i ako se botnet TrickBot ne oporavi, grupa za kibernetski kriminal koja stoji iza njega neće uskoro nestati.
„Bez obzira na prelazak sa TrickBot-a na BazarLoader, ohrabruje nas ukupan uticaj aktivnosti protiv TrickBot-ove infrastrukture“, kažu istraživači Intel 471. „U najmanju ruku, ova aktivnost ometanja postigla je da akteri koji stoje iza TrickBot-a troše vreme i napor postavljajući novu infrastrukturu, umesto da ometaju i ucenjuju žrtve.“
Izvor: CSO