ظهور جانشین قدرتمند TrickBot

به گزارش کارگروه امنیت سایبربان؛ اپراتورهای تریک‌بات (TrickBot) طی چندین سال فعالیت خود شبکه‌های سازمانی را با تریک بات و ماژول‌های مخرب هدف قرار داده و اقدام به سرقت پسورد، نفوذ به سیستم‌ها و  سرقت پایگاه داده‌های اکتیو دایرکتوری کردند.

پس‌ازاینکه مایکروسافت بخش‌هایی از این بدافزار را مختل و شناسایی آن را تسهیل کرد مالکان تریک بات بدافزاری به نام بازاربکدور (BazarBackdoor) یا بازارلودر (BazarLoader) را جایگزین آن کردند.  

بر اساس گزارش امنیتی «Advanced Intel»، اپراتورهای تریک‌بات شبکه‌های سازمانی را به کمک تروجان بازاربکدور هدف قرار می‌دهند پیش از اینکه باج افزار ریوک را به‌کارگیرند.  

بازاربکدور یک بدافزار پنهان با اهداف بسیار مهم بوده و متعلق به زرادخانه گروه تریک بات بوده و از دو بخش لودر و بکدور تشکیل‌شده است.

گروه بدافزاری بازاربکدور با بهره‌گیری از گواهینامه‌های امضاء کد ناشناس مانده و در ابتدا از حداقل قابلیت‌های مخرب بدافزاری بهره می‌گیرد تا شانش بیشتری برای بقای طولانی در امن‌ترین شبکه‌ها داشته باشد. 

ناشناس بودن و مبهم سازی از قابلیت‌های اصلی بازاربکدور بوده و برای انتشار آن مهاجمان در ابتدا به حملات فیشینگ متوسل می‌شوند.

بازاربکدور با این هدف ساخته‌شده که ناشناس بماند و برنامه‌های مخرب و پیشرفته‌ای از طریق برنامه‌های ثالث همچون کوبالت استرایک بارگذاری کند.

گروهی که پشت بازاربکدور قرار دارد  با بهره‌گیری از ابزار قانونی کوبالت استرایک دسترسی از راه دور کسب کرده و اقدام به جمع‌آوری اعتبارنامه‌های هاست‌ها و اکتیو دایرکتوری، نصب نرم‌افزارهای ثالث «Lasagne» ،«BloodHoun»، جابجایی درون شبکه‌ها و هاست‌ها و راه‌اندازی باج افزار ریوک می‌کند.  

این بدافزار حتی اگر از سوی آنتی‌ویروس‌ها نیز شناسایی شود، ماندگاری خود در سیستم را حفظ می‌کند. پس‌ازاینکه مهاجمان ریوک را در سیستم هدف نصب می‌کنند، باج‌های هنگفتی از قربانی طلب می‌کنند.