Powertrick后门用于定位高价值业务
根据Sentinellabs的威胁情报专家的研究,俄罗斯恶意软件背后的俄罗斯恶意软件背后的威胁演员似乎转向了一个新的无纺车后门被称为Targetation。
在最近发表的论文中,研究人员Vitali Kremez,Joshua Platt和Jason Reeves表示,Trickbot - 这是更广泛的恶意软件和越野的后裔之一 - 首先主要专注于银行欺诈,但现在已经转移到了焦点企业环境,包含更多技术,例如网络分析,质量数据收集和横向遍历漏洞的融合。
“这种焦点转变在他们的第三次交付中的恶意软件和技术中也普遍存在于瞄准企业环境;克雷梅斯说,它与一家专注将取决于产生最佳收入的公司相似。“
PowerTrick工具 - 一个这样的技术 - 现在被用于秘密塞拉伯人的金融机构等高价值目标中的隐私,持久性和侦察。
反映了数量质量的古代最大值,较高价值目标最近几个月成为有组织的网络犯罪集团的关键重点,而一些部门观察员则看到整体恶意软件卷已经下降。正在进行的Travelex Ransomware危机在外汇部门造成混乱可能是一个有针对性的攻击。
在这种情况下,SentinElelabs研究人员透露,至少一些动作的感染通过磨坊曲调感染的PowerShell任务踢掉,使用称为NewbCtest的重新击败的BackConnect模块可以接受执行命令。
最终目标是绕过现有的限制和网络安全控制,以扩展恶意软件和收获凭证以及在高度保护的网络上的其他数据,可能包括空中覆盖的网络。
演员还使用其他PowerShell实用程序来完成各种任务 - SentinEleLabs指出,他们经常使用Letmein.ps1,PowerShell Stager用于Metasploit开源开发框架。
Kremez表示,许多集团的进攻性工具能够在很大程度上被遗弃,因为它们仅用于较短的时间,以便有针对性的开发后目的,例如目标网络中的横向运动。
TowerTrick特别是高度灵活且有效的,这使得TrickBot集团随着飞行的攻击而增强并保持隐藏,而不是使用PowerShell Empire等更多开源系统,这可以更容易地检测。
SentinEleLabs发布了一些模拟命令和控制面板,让风险群体与PowerTrick Backdoor相关的测试检测,可在GitHub上下载。
