TrickBot marque son retour avec un module d’analyse de ports

Le cheval de Troie TrickBot poursuit son retour en ajoutant récemment un module d’analyse réseau qui utilise l’outil open source Masscan pour rechercher des ports ouverts.

Masscan est un scanner de port TCP/IP de masse, qui peut scanner l’intégralité de l’Internet en moins de cinq minutes selon ses auteurs, transmettant 10 millions de paquets de données par seconde à partir d’une seule machine. Le module de TrickBot qui l’utilise, surnommé «masrv», est probablement utilisé pour la reconnaissance du réseau, selon les chercheurs de Kryptos Logic.

Le module arrive en tant que bibliothèque DLL 32 bits ou 64 bits, selon la version du système d’exploitation Windows de la machine victime sur laquelle le bot s’exécute. Une fois installé, il demande au serveur de commande et de contrôle (C2) une liste de plages d’adresses IP à analyser, suivie de la plage de ports, qu’il peut transmettre en tant que paramètres à Masscan. Le serveur C2 communique également la fréquence d’envoi des résultats et la vitesse de transmission.

«Au début, le module envoie des requêtes GET à partir des commandes «freq», «domaines» et «rate»», ont expliqué les chercheurs de Kryptos Logic dans un article publié sur le blog. “En cas de succès, le module exécute la routine de fonction principale de Masscan, qui est compilée dans la DLL.”

malware

L’outil Masscan possède sa propre pile réseau et nécessite un filtre de paquets de bas niveau pour rendre les résultats, selon l’analyse. Le module TrickBot recherche NPcap\Packet.dll sur les machines Windows; et s’il n’est pas présent, il fait une demande de téléchargement de l’exécutable NPcap à partir du serveur C2 qui est ensuite installé silencieusement. L’outil Masscan tente également d’initialiser la carte réseau.

Si le module découvre des ports ouverts, il envoie les résultats sur la même fréquence, en secondes, déterminée par la valeur de fréquence demandée au début.

«Les résultats sont agrégés en appelant une fonction spécifique au module à partir de la fonction Masscan output_report_status qui ajoute les ports découverts à une chaîne globale», ont expliqué les chercheurs. «Ces résultats sont régulièrement renvoyés (via le message 81).»

Anchor et Bazar

Le nouveau module contient également de manière intéressante une fonction de communication C2 pour se connecter au framework Anchor, et une liste d’adresses IP codées en dur qui ont déjà été associées à la fois à Anchor et Bazar 12.

Le framework de malware Anchor, qui remonte au moins à 2018, semble être programmé par les opérateurs de TrickBot, ont noté les chercheurs. Il s’agit d’un «framework d’attaque tout-en-un», composé de divers sous-modules qui peuvent aider les attaquants à se déplacer latéralement sur un réseau (comme la possibilité d’installer des portes dérobées). D’autres cyber-gangs semblent également utiliser Anchor – l’année dernière, un partenariat entre TrickBot et le cyber-gang financier FIN6 a été découvert; et le groupe Lazarus lié à la Corée du Nord a aussi utilisé le malware.

Bazar, quant à lui, est un groupe de logiciels malveillants probablement développés par les opérateurs TrickBot qui ont également été utilisés par divers groupes de pirates informatiques, tels que le gang de ransomwares Ryuk. Il s’agit d’un programme malveillant de chargement de premier niveau qui comporte de nombreuses variantes, notamment les familles de logiciels malveillants Kegtap, Singlemalt et Winekey.

En Juin, TrickBot a ajouté un module basé sur Bazar appelé BazarBackdoor, qui est capable de fournir un accès complet à un attaquant et peut être utilisé comme point d’entrée pour n’importe quelles attaques.

«Dans toute attaque avancée, qu’il s’agisse de ransomware, d’espionnage industriel ou d’exfiltration de données d’entreprise, il est essentiel d’avoir ce type d’accès», ont déclaré à l’époque des chercheurs de Panda Security. «Si un cybercriminel parvient à installer BazarBackdoor sur le système informatique d’une entreprise, cela pourrait poser un grave danger et, étant donné le volume d’e-mails envoyés avec cette porte dérobée, il s’agit d’une menace généralisée.»

Quant aux liens entre «masrv» et les deux autres malwares, «il n’est pas rare que cet acteur partage du code entre ses outils», ont déclaré les chercheurs de Kryptos Logic. «Ce nouveau module est une indication de l’investissement continu de l’acteur dans l’amélioration de sa boîte à outils de reconnaissance du réseau, même après les récents efforts de perturbation.»

TrickBot rebondit après une interruption

TrickBot est une souche de malware qui existe depuis 2016, ayant commencé sa vie en tant que cheval de Troie bancaire. Au fil du temps, il a progressivement étendu ses fonctions pour inclure la collecte d’informations d’identification à partir des e-mails, des navigateurs et des applications réseau d’une victime. Le logiciel malveillant a également évolué pour ajouter plus de modules et servir de véhicule de livraison pour d’autres logiciels malveillants.

Trickbot

Les utilisateurs infectés par le cheval de Troie TrickBot verront leur appareil faire partie d’un botnet que les attaquants utilisent pour charger des logiciels malveillants – les chercheurs l’ont qualifié de «dropper idéal pour presque toutes les charges utiles de logiciels malveillants supplémentaires». Par exemple, dans une campagne, le cheval de Troie Emotet a utilisé TrickBot comme moyen de déploiement du ransomware Ryuk.

En Octobre cependant, TrickBot a subi un coup dur grâce à une action coordonnée menée par Microsoft qui a perturbé le botnet qui le propage.

Cependant, les chercheurs avaient averti à l’époque que les opérateurs de TrickBot tenteraient rapidement de relancer leurs opérations – une prédiction qui s’est rapidement réalisée. Selon AdvIntel et Eclypsium, les infections actives de TrickBot sont revenues deux mois après, atteignant jusqu’à 40 000 nouvelles victimes en une seule journée.

Et, début décembre, ils ont implémenté une fonctionnalité conçue pour inspecter le micrologiciel UEFI/BIOS des systèmes ciblés en utilisant un module qui se nomme TrickBoot.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires