TrickBot 運營商使用新變體攻擊 Linux 系統擴大目標名單

幾天前，微軟的 Defender 團隊 FS-ISAC，ESET，Lumen 的 Black Lotus Labs，NTT 以及Broadcom的網絡安全部門Symantec齊心協力，并宣布了共同的努力，以拆除臭名昭著的TrickBot僵尸網絡的命令和控制基礎結構 。

在構成Trickbot基礎結構的128臺服務器中，Microsoft減少了120臺。

微軟宣布已取消了最初的69臺TrickBot C＆C服務器中的62臺，上周無法關閉的7臺服務器是物聯網（IoT）設備。

微軟還透露，運營商試圖恢復運營。在最近的失敗之后，該公司關閉了運營商嘗試使之聯機的59臺服務器中的58臺。

根據安全公司Netscout的研究人員發布的一份新報告，TrickBot的運營商已經開始使用他們的惡意軟件的新變體，試圖攻擊Linux系統并擴大其目標名單。

TrickBot是一種流行的銀行木馬，自2016年10月以來一直存在，其作者通過實現新功能對其進行了不斷升級。

在2019年底，研究人員發現了一個名為Anchor的新TrickBot后門框架，該框架正在使用DNS協議進行C2通信。

第2階段安全研究人員Waylon Grange于7月首次發現了Anchor_DNS的新Linux變種，并將其稱為“ Anchor_Linux ”。

“著名的銀行木馬Trickbot背后的參與者最近開發了他們的新DNS命令和控制工具Anchor_DNS的Linux端口。” 格蘭奇解釋說。

“該惡意軟件通常作為zip的一部分提供，是一種輕量級的Linux后門。執行后，它將自身安裝為 cron job，確定主機的公共IP [地址]，然后開始通過DNS查詢向其C2服務器發送信標。”

Netscout的研究人員現在發布了對該變體的分析，詳細介紹了bot與C2服務器之間的通信流。

客戶端向服務器發送“ c2_command 0 ”以及有關受感染系統和僵尸程序ID的信息，然后服務器將消息“信號/ 1 /”返回給僵尸程序。

被感染的主機通過將相同的消息發送回C2進行響應，然后C2發送要由機器人執行的命令。一旦執行了該命令，該機器人就會將執行結果發送到C2服務器。

“ Anchor的C2通信的復雜性以及該機器人可執行的有效負載不僅反映了Trickbot參與者的相當大的能力的一部分，而且還反映了他們不斷創新的能力，這證明了他們向Linux的遷移。” 總結報告。“必須指出的是，Trickbot運營商并非唯一意識到實現針對其他操作系統的價值的對手”