به گزارش کارگروه حملات سایبری سایبربان؛ محققان «IBM X-Force» با انتشار گزارشی اعلام کردند گروه هکری «FIN6» با اپراتورهای بدافزار تریک بات (TrickBot) همکاری کرده و در حملات خود از بدافزار انکور (Anchor) استفاده میکند.
کارشناسان شرکت امنیت سایبری سایبریزن (Cybereason) و سنتینل وان (SentinelOne) مدعی شدند اعضای گروه هکری لازاروس (Lazarus) کره شمالی دسترسی به سیستمهای آلوده را از اپراتورهای بدافزار تریکبات خریداری کرده و از ماژول جدید این بدافزار تحت عنوان انکور در حملات سایبری خود استفاده میکنند.
اپراتورهای تریکبات دسترسی به شبکهای از سیستمهایی را که توسط این بدافزار آلودهشدهاند را به دیگر مجرمان سایبری منجمله هکرهای دولتی میفروشند و مشتریان نیز میتوانند از تریکبات استفاده کرده و بدافزار اختصاصی خود را نصبکرده و بر اساس اهداف خود از دیگر ماژولهای تروجان استفاده نمایند.
به گفته محققان شرکت سنتینل وان، انکور جعبهابزاری است که در گونه جدیدی از بدافزار ادغامشده و بهعنوان زیرساختی جامع جهت حمله به شرکتهای بزرگ اختصاصیافته است. هکرهایی که از انکور، ماژول جدید تریکبات، جهت حمله به شرکتهای بزرگ استفاده میکنند، تازمانی که دادهها را سرقت نکردهاند و یا حتی بعد از انجام عملیات، طی چندین هفته یا چندین ماه ناشناخته میمانند.
انکور متشکل از شبکهای از ماژولهای فرعی است که قابلیتهای مختلف داشته و برای حملات هدفمند اختصاصیافتهاند. برخی از این ماژولهای فرعی جهت توزیع درون شبکههای شرکتها و نصب در پشتیها، حمله به دستگاههای پایانههای فروش یا پوز (POS) و جستجوی دادههای کارتها در رم اختصاصیافته و برخی دیگر نیز پس از آلوده سازی، سیستم را پاکسازی میکنند تا ردپایی بهجای نماند.
انکور ابزاری مختص گروههای هکری علاقهمند به جاسوسی اقتصادی و اپراتورهای بدافزارهای پایانه فروش بوده و مشتریانی نیز از میان هکرهای دولتی منجمله گروه لازاروس پیداکرده است. این گروه دسترسی به سیستم آلوده به باتنت تریکبات را اجاره کرده و سپس از انکور جهت نصب PowerRatankba، درب پشتی PowerShell در شبکه شرکت ناشناسی بهره گرفته است.
تریکبات در سال 2019، 250 حساب ایمیل را سرقت کرده و از اوایل ماه آگوست 2019 شرکتهای ورایزن، تی موبایل و اسپرینت را هدف قرار داده است. این بدافزار در برخی کمپینها، اپراتورهای موبایلی بزرگ را نیز هدف قرار داده است.
