有一个非常著名的僵尸网络,名为Trickbot,其势力极大,左有银行欺诈和Ryuk勒索软件,右有窃密器和挖矿木马,统一地下市场指日可待。
而最近SentinelLABS发布的一份报告显示,朝鲜政府支持的黑客部门正在租用TrickBot僵尸网络运营商的精英黑客工具和黑客网络。
报告中,提到了国家资助的黑客组织(朝鲜的Lazarus Group)与世俗的恶意软件运营商(TrickBot)之间存在新的联系。
根据SentinelOne团队的说法,Lazarus集团最近成为TrickBot帮派的客户,他们从那里租用了已经受感染的系统以及研究人员称为Anchor的新型攻击框架。
主要在于一个Anchor样本回连的域名,关联到了Lazarus,这成了直接证据。
在Cybereason和SentinelOne今天发布的报告中,两家公司都说Anchor是一个新的TrickBot模块。
Anchor是TrickBot是用于针对大型公司的攻击的工具,在这种情况下,黑客需要在数周或数月的时间内(在窃取数据的过程中)甚至在入侵结束后的很长时间内都未被发现。
这包括通过网络横向分布的Anchor子模块,安装后门以供将来访问的功能,以销售点(POS)系统为目标的功能,以及在感染后可以清理系统的功能。隐藏入侵者的踪迹。
他们发现其中朝鲜Lazarus似乎是通过买的受感染的系统,然后用TrickBot攻击模块,安装PowerRatankba在网络上(那是一个PowerShell的后门)。
今年早些时候,美国财政部对与三个朝鲜黑客组织有关的实体实施了制裁,这些组织被发现从银行和加密货币交易所窃取钱财以资助该国的武器计划。
但是,朝鲜黑客并不是Anchor的唯一客户,还有好多好多。
这一发现证实了近年来观察到的趋势-即常规网络犯罪与民族国家网络间谍活动之间的界线正在模糊。
这种趋势在2017年被发现,当时有报告显示GameOver Zeus恶意软件僵尸网络背后的策划者如何帮助俄罗斯情报部门从他感染的计算机上收集敏感文件。
此外,美国向Dridex恶意软件僵尸网络的管理员提出指控,指责他做同样的事情:与俄罗斯国家情报部门合作搜索敏感数据。
而该公司安全人员已经看到国家黑客组织逐渐采用商用恶意软件。由国家赞助的APT组织没有开发自己的工具,而是选择购买已经可以在线销售的恶意软件。
而这最重要的一点在于,如果朝鲜黑客或者俄罗斯黑客使用了这些僵尸网络的黑客资产进行攻击,那么安全分析人员在归因的时候就会让人觉得,这是一个普通攻击,不用看了。
可以看出,以后抓APT攻击将会越来越难了。
感兴趣去原文下完整pdf看吧
https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt/
或者可以直接去知识星球拿,还有IOC。
近期阅读
▲网络战之打飞机:无人机渗透测试框架dronesploit面世
▲世界反兴奋剂机构宣判俄罗斯禁赛4年,目测俄网军引擎即将发动
因为威胁信息管理法即将颁布,因此我将知识星球预览关了,有需要的赶紧扫码进入,公开与私密情报均列位其中,信息严禁传播,避免二次伤害。
点个赞,转个发,祖国建设靠大家