وحدة جديدة لـ TrickBot Banking Trojan تم اكتشافه مؤخرًا في البرية مما يتيح للمهاجمين الاستفادة من الأنظمة المخترقة لشن هجمات القوة الغاشمة ضد أنظمة Windows المحددة التي تشغل اتصال بروتوكول سطح المكتب البعيد (RDP) المعرض للإنترنت.
الوحدة التي يطلق عليها اسم "com.rdpScanDll، "تم اكتشافه في 30 يناير ويقال أنه لا يزال قيد التطوير ، حسبما ذكرت شركة الأمن السيبراني Bitdefender في تقرير تمت مشاركته مع The Hacker news.
وفقًا للباحثين ، حاولت وحدة التأثير الغاشم rdpScanDll حتى الآن استهداف 6,013 خادم RDP تنتمي إلى شركات في قطاعات الاتصالات والتعليم والمالية في الولايات المتحدة وهونغ كونغ.
يتخصص مؤلفو البرامج الضارة وراء TrickBot في إطلاق وحدات وإصدارات جديدة من Trojan في محاولة لتوسيع وتحسين قدراته.
"إن المرونة التي تسمح بها هذه البنية المعيارية قد حولت TrickBot إلى برنامج ضار شديد التعقيد ومتطور قادر على تنفيذ مجموعة واسعة من الأنشطة الضارة ، طالما يوجد مكون إضافي له" ، وقال الباحثون.
"من الوظائف الإضافية لسرقة بيانات OpenSSH و OpenVPN الحساسة ، إلى الوحدات التي تعمل هجمات مبادلة SIM للتحكم في رقم هاتف المستخدم ، وحتى تعطيل آليات الأمان المضمنة في Windows قبل تنزيل وحداته الرئيسية ، يعد TrickBot بمثابة مقبس لجميع المهن ".
كيف تعمل TrickBot RDP Brute-Force Module؟
عندما يبدأ TrickBot في تنفيذه ، فإنه ينشئ مجلدًا يحتوي على الحمولات الضارة المشفرة وملفات التكوين المرتبطة بها ، والتي تتضمن قائمة بخوادم القيادة والتحكم (C2) التي يحتاج البرنامج المساعد إلى الاتصال بها لاسترداد الأوامر المراد تنفيذها.
وفقًا لـ Bitdefender ، يشارك المكون الإضافي rdpScanDll ملف التكوين الخاص به مع وحدة نمطية أخرى تسمى "vncDll" ، مع استخدام تنسيق عنوان URL القياسي للتواصل مع خوادم C2 الجديدة - https://C&C/tag/computerID/controlEndpoint
هنا ، تشير "C&C" إلى خادم C2 ، و "علامة" ، وعلامة المجموعة المستخدمة بواسطة نموذج TrickBot ، و "computerID" ، ومعرف الكمبيوتر المستخدم بواسطة البرامج الضارة ، و "controlEndpoint" ، وهي قائمة بأوضاع الهجوم (تحقق ، trybrute و brute) وقائمة مجموعات أرقام منفذ عنوان IP التي سيتم استهدافها عبر هجوم RDP الغاشم.
أثناء قيام وضع "check" بالتحقق من اتصال RDP من قائمة الأهداف ، يحاول وضع "trybrute" إجراء عملية القوة الغاشمة على الهدف المحدد باستخدام قائمة محددة مسبقًا بأسماء المستخدمين وكلمات المرور التي تم الحصول عليها من نقاط النهاية "/ rdp / names" و " / rdp / dict "على التوالي.
يبدو أن الوضع "الغاشم" ، حسب الباحثين ، لا يزال قيد التطوير. لا يتضمن فقط مجموعة من الوظائف القابلة للتنفيذ التي لم يتم استدعاؤها ، بل الوضع "لا يجلب قائمة أسماء المستخدمين ، مما يتسبب في استخدام المكون الإضافي كلمات مرور وأسماء مستخدمين فارغة للمصادقة على قائمة الأهداف".
بمجرد استنفاد القائمة الأولية لعناوين IP المستهدفة التي تم جمعها عبر "/ rdp / domains" ، يقوم المكون الإضافي ، بعد ذلك ، باسترداد مجموعة أخرى من عناوين IP الجديدة باستخدام نقطة نهاية "/ rdp / over" ثانية.
تضمنت القائمتان ، اللتان تضم كل منهما 49 عنوان IP و 5,964 عنوانًا ، أهدافًا تقع في الولايات المتحدة وهونغ كونغ تشمل قطاعات الاتصالات والتعليم والمالية والبحث العلمي.
الإضافات الحركة الجانبية في الأعلى
بالإضافة إلى ذلك ، قام تقرير Bitdefender بتفصيل آلية تسليم تحديث TrickBot ، ووجد أن المكونات الإضافية المسؤولة عن الحركة الجانبية عبر الشبكة (WormDll ، TabDll ، ShareDll) تلقت معظم التحديثات ، تليها الوحدات التي ساعدت في تنفيذ استطلاع "النظام والشبكة" (SystemInfo) ، NetworkDll) ، وجمع البيانات (ImportDll ، Pwgrab ، aDll) على مدار الأشهر الستة الماضية.
لاحظ الباحثون أنه "أثناء مراقبة تحديثات المكونات الإضافية الضارة ، لاحظنا أن الأكثر تحديثًا كانت تلك التي تقوم بحركة جانبية: 32.07٪ منها كانت wormDll ، و 31.44٪ كانت shareDll ، و 16.35٪ كانت tabDll". "بقية المكونات الإضافية بها أقل من 5٪ من مرات الظهور".
علاوة على ذلك ، تمكن الباحثون من تحديد ما لا يقل عن 3,460 عنوان IP تعمل كخوادم C2 في جميع أنحاء العالم ، بما في ذلك 556 خادمًا مخصصًا فقط لتنزيل المكونات الإضافية الجديدة و 22 عنوان IP الذي يخدم كلا الدورين.
تاريخ تطور القدرات
تم نشر TrickBot عبر حملات التصيد الاحتيالي عبر البريد الإلكتروني ، وبدأت حياته كحصان طروادة مصرفي في عام 2016 ، مما يسهل السرقة المالية. لكنها تطورت منذ ذلك الحين لتقديم أنواع أخرى من البرامج الضارة ، بما في ذلك سيئة السمعة ريوك رانسومواري، بمثابة سارق معلومات ، نهب محافظ بيتكوين، وجمع رسائل البريد الإلكتروني وبيانات الاعتماد.
تستخدم حملات malspam التي تقدم TrickBot علامات تجارية لجهة خارجية مألوفة لدى المستلم ، مثل فواتير من المحاسبة والمالية الشركات.
عادةً ما تتضمن رسائل البريد الإلكتروني مرفقًا ، مثل مستند Microsoft Word أو Excel ، والذي ، عند فتحه ، سيطلب من المستخدم تمكين وحدات الماكرو - وبالتالي تنفيذ VBScript لتشغيل برنامج PowerShell النصي لتنزيل البرامج الضارة.
يتم أيضًا إسقاط TrickBot كملف الحمولة الثانوية بواسطة برامج ضارة أخرى ، ولا سيما من خلال حملة البريد العشوائي التي يقودها الروبوتات من Emotet. لاكتساب الثبات والتهرب من الكشف ، تم العثور على البرامج الضارة لإنشاء مهمة مجدولة وخدمة ، وحتى تعطيل برنامج مكافحة الفيروسات لـ Windows Defender وحذفه.
أدى ذلك إلى قيام Microsoft بطرح ملف ميزة الحماية من العبث للحماية من التغييرات الخبيثة وغير المصرح بها في ميزات الأمان العام الماضي.
وخلص الباحثون إلى أن "وحدة rdpScanDll الجديدة قد تكون الأحدث في سلسلة طويلة من الوحدات التي استخدمها TrickBot Trojan ، لكنها تبرز بسبب استخدامها لقائمة محددة للغاية من عناوين IP".
"باستخدام البنية التحتية الحالية لضحايا TrickBot ، تشير الوحدة الجديدة إلى أن المهاجمين قد يركزون أيضًا على مجالات أخرى غير المالية ، مثل خدمات الاتصالات والتعليم والبحث."
