Новый Linux-модуль платформы TrickBot тайно атакует Windows-ПК

Вредоносное ПО Anchor, являющееся модулем вредоносной платформы TrickBot, было портировано на Linux. Платформа TrickBot представляет собой многофункциональную платформу со множеством вредоносных модулей, предназначенных для кибератак на Windows-ПК. Эти модули используются для похищения данных и паролей, несанкционированного доступа к домену, доставки вредоносного ПО и пр.

TrickBot сдается в аренду киберпреступникам для проникновения в компьютерные сети и похищения из них любых ценных данных. Кроме того, он используется для развертывания вымогательского ПО Ryuk и Conti.

В конце 2019 года стало известно о новом модуле TrickBot под названием Anchor, использующем DNS для связи с C&C-сервером. Киберпреступники применяют его в атаках на серьезные компании, обладающие ценной финансовой информацией. В дополнение к развертыванию вымогательского ПО Anchor также используется в качестве бэкдора.

Исторически Anchor являлся вредоносным ПО для Windows, однако специалист компании Stage 2 Security Вэйлон Грэйндж (Waylon Grange) обнаружил образец Anchor_Linux, свидетельствующий о том, что он был портирован на Linux.

Помимо того, что вредонос выполняет роль бэкдора, способного загружать и запускать на Linux-устройстве вредоносное ПО, он также содержит встроенный исполняемый файл Windows TrickBot. Anchor_Linux может использоваться для копирования встроенного TrickBot на хосты Windows в той же сети, используя SMB и IPC$. Linux-версия вредоноса позволяет атаковать среды, отличные от Windows, с помощью бэкдора, позволяющего скрытно возвращаться к Windows-устройствам в той же сети.