El infame grupo cibercrimen organizado de Rusia TrickBot tiene un nuevo truco bajo la manga para objetivos de alto valor: una puerta trasera personalizada basada en PowerShell sin archivos diseñada para el sigilo, la persistencia y el reconocimiento dentro de las redes infectadas.
SentinelOne, que ha estado rastreando el malware, lo ha denominado PowerTrick. En una publicación de site el jueves, el vendedor describió que el nuevo malware tiene capacidades similares a las de la herramienta de prueba de penetración de código abierto PowerShell Empire, pero que es más difícil de detectar porque está desarrollado a medida.
Vitali Kremez, investigador principal de seguridad cibernética en SentinelOne's SentinelLabs, dice que PowerTrick es una herramienta de publish explotación sin archivos que los operadores de TrickBot están utilizando para colocar sigilosamente malware adicional en sistemas que pertenecen a organizaciones que el grupo percibe como de alto valor.
El malware se está utilizando para permitir la recopilación masiva de datos, el reconocimiento, la persistencia y el movimiento lateral en redes infectadas. «Evaluamos con gran confianza que al menos algunas de las infecciones iniciales de PowerTrick se inician como una tarea de PowerShell a través de infecciones normales de TrickBot», dice Kremez.
TrickBot es un grupo con sede en Rusia que inicialmente se especializó en actividades de fraude bancario, pero a lo largo de los años también ha comenzado a apuntar cada vez más a organizaciones empresariales. Se cree que el grupo se dividió en numerosas redes empresariales y reunió una gran cantidad de información sobre cada una de ellas, incluidas las credenciales, la pink y los datos del controlador de dominio.
En los últimos años, el grupo ha estado vendiendo el acceso a esos datos a otros grupos de delitos cibernéticos motivados financieramente y más recientemente a grupos avanzados de amenazas persistentes (APT) como la operación Lazarus de Corea del Norte. Conforme para SentinelOne, TrickBot ha procesado e indexado datos sobre víctimas que ha comprometido de tal manera que sus clientes pueden identificar rápidamente objetivos de alto valor o las organizaciones menos protegidas.
Además de vender acceso a redes comprometidas, TrickBot en los últimos años también ha permitido que otros grupos investigados usen su malware personalizado para llevar a cabo ataques y distribuir otro malware. Un ejemplo es Anchor, una colección de herramientas personalizadas y existentes para todo, desde la instalación de malware posterior a la explotación hasta la limpieza y eliminación de todas las pruebas de un robo. Al igual que muchos otros grupos de ciberdelincuencia y APT, TrickBot también ha aprovechado ampliamente las herramientas y servicios legítimos de administración, especialmente PowerShell, Metasploit, Cobalt Strike y PowerShell Empire, en sus operaciones posteriores a la explotación.
«PowerTrick es una solución privada que el grupo TrickBot aprovecha para el despliegue de malware dirigido adicional «, dice Kremez. Related a cómo funciona el componente de etapas de PowerShell Empire, PowerTrick se puede usar para descargar una puerta trasera más grande y poderosa para ejecutar otros comandos como aquellos para recogiendo credenciales, moviéndose lateralmente o para instalar más puertas traseras. TrickBot Anchor y otra puerta trasera llamada TerraLoader son dos ejemplos de malware que los atacantes están implementando a través de PowerTrick, dice Kremez.
El objetivo ultimate de la puerta trasera PowerTrick es eludir las restricciones y los controles de seguridad y explotar redes de alto valor fuertemente protegidas y seguras. Al igual que sus otros productos de malware, TrickBot parece haber hecho que PowerTrick esté disponible para otros grupos de ciberdelincuencia y APT, según Kremez.
SentinelLabs ha desarrollado un falso panel de comando y regulate que las organizaciones pueden usar para probar infecciones relacionadas con PowerTrick. El proveedor de seguridad también ha publicado indicadores de compromiso relacionados con la amenaza.
Contenido relacionado:
Echa un vistazo a The Edge, la nueva sección de Darkish Reading through para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «En el desarrollo de aplicaciones, ¿Sin código no significa seguridad?»
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más ideas
