یک ماژول جدید TrojanBot banking Trojan اخیراً در طبیعت کشف شده است که به مهاجمین اجازه می دهد تا از سیستم های مصالحه شده استفاده کنند تا بتوانند حملات بی رحمانه ای را علیه سیستم های ویندوز منتخب اجرا کنند که دارای یک پروتکل دسک تاپ از راه دور (RDP) در معرض اینترنت است.

شركت فضای مجازی Bitdefender در گزارشی با اخبار هكر گفت: این ماژول با عنوان " rdpScanDll " کشف شد و گفته می شود كه هنوز در حال توسعه است.

ماژول های بی رحمانه rdpScanDll تاکنون سعی در هدف قرار دادن 6013 سرور RDP متعلق به شرکتها در بخش های مخابراتی ، آموزشی و مالی در ایالات متحده و هنگ کنگ داشته است.

نویسندگان بدافزار پشت TrickBot در انتشار ماژول ها و نسخه های جدید Trojan تخصص دارند.

"انعطاف پذیری مجاز توسط این معماری مدولار ، TrickBot را به یک بدافزار بسیار پیچیده و پیشرفته تبدیل کرده است. محققان گفتند: طیف گسترده ای از فعالیت های مخرب ، تا زمانی که افزونه ای برای آن وجود داشته باشد ، استفاده می کنند.

"از افزودنیهای مربوط به سرقت داده های حساس OpenSSH و OpenVPN ، تا ماژول هایی که حملات تعویض سیم کارت را انجام می دهند. کنترل شماره تلفن کاربر ، و حتی غیرفعال کردن مکانیزم های امنیتی داخلی Windows قبل از بارگیری ماژول های اصلی آن ، TrickBot یک تجارت کلی است. "

چگونه TrickBot RDP ماژول های بی رحم کار می کند؟

هنگامی که TrickBot اجرای خود را شروع کرد ، پوشه ای را در بر می گیرد که دارای بارهای مخرب رمزگذاری شده و پرونده های پیکربندی مرتبط با آنهاست ، که شامل لیستی از سرورهای دستور و کنترل (C2) است که افزونه برای بازیابی دستورات لازم برای اجرای آن نیاز به برقراری ارتباط دارد.

طبق گفته Bitdefender ، افزونه rdpScanDll فایل پیکربندی خود را با ماژول دیگری به نام "vncDll" به اشتراک می گذارد ، در حالی که از یک قالب URL استاندارد برای ارتباط با سرورهای جدید C2 استفاده می کند – https: // C& C / tag / computerID /کنترل Endpoint

در اینجا ، "C&C" به سرور C2 ، "برچسب" ، برچسب گروه مورد استفاده توسط نمونه TrickBot ، "computerID" ، شناسه رایانه ای که توسط بدافزارها استفاده می شود ، و یک لیست "ControlEndpoint" ، اشاره دارد. حالتهای حمله (بررسی ، آزمایش سریع و بیرحمانه) و لیست ترکیب شماره های شماره پورت آدرس IP که باید از طریق حمله شدید RDP مورد هدف قرار گیرند.

بدافزار سایبری حمله به "مرز =" 0 "data-original-height =" 377 "data-original-width =" 710 "src =" https://1.bp.blogspot.com/-jT9v1nEyHOc/XnHUGcPbTZI/AAAAAAAAAAcc/AqB2YOz7qBc5S3xoXtS5o4VzQUocovss "S" /> </div> <p> در حالی که حالت "بررسی" اتصال RDP را از لیست اهداف بررسی می کند ، حالت "trybrute" با استفاده از یک لیست از پیش تعیین شده از نام کاربری ها و کلمه عبور های بدست آمده از نقاط انتهایی "، یک عملیات ناخواسته نیرو را روی هدف انتخاب شده انجام می دهد. </p> <p> به نظر محققان ، حالت "وحشیانه" هنوز در حال توسعه است. نه تنها شامل مجموعه ای از عملکردهای اجرایی است که مورد استفاده قرار نمی گیرند ، حالت "لیست نام کاربری را به دست نمی آورد ، باعث می شود این افزونه از رمزهای عبور و نامهای کاربری صحیح در لیست اهداف استفاده کند." </p> <p> پس از لیست اولیه. IP های هدفمند جمع آوری شده از طریق "/ rdp / domain" خسته شده است ، این افزونه ، مجموعه دیگری از IPهای جدید را با استفاده از نقطه انتهایی "/ rdp / over" دوم بازیابی می کند. </p> <div class= نقشه حمله سایبری "مرز =" 0 "داده اصلی -height = "300" data-original-width = "728" src = "https://1.bp.blogspot.com/-7F8eyihnnd4/XnHUoaMNjHI/AAAAAAAAAAGk/205RDAshT4A1mw-YwuUgEfZFvjzcTEsA" = "نقشه حمله سایبری" /> </div> <p> این دو لیست ، هر یک شامل 49 و 5964 آدرس آی پی ، شامل اهداف واقع در ایالات متحده و هونگ کونگ در ارتباط با مخابرات ، آموزش ، آموزش ، مالی و تحقیقات علمی است. </p> <h2> افزونه های جنبش جانبی در بالا </h2> <p> علاوه بر این ، گزارش Bitdefender به تفصیل مکانیزم تحویل به روزرسانی TrickBot را نشان داد و دریافت که افزونه های مسئول جنبش جانبی در سراسر شبکه (WormDll ، TabDll ، ShareDll) بیشترین به روزرسانی را دریافت کرده اند ، و پس از آن ماژول هایی که به اجرای کمک می کنند شناسایی سیستم و شبکه (SystemInfo ، NetworkDll) و برداشت داده (ImportDll، Pwgrab، aDll) طی شش ماه گذشته. </p> <p> "هنگام نظارت بر به روزرسانی افزونه های مخرب ، مشاهده کردیم که بیشترین بروزرسانی ها کسانی که جنبش جانبی را انجام می دادند: 32.07٪ از آنها wormDll ، 44/31٪ آنها shareDll بودند و 16.35٪ آنها tabDll بودند. " "بقیه افزونه ها کمتر از 5٪ موارد رخ داده بودند." </p> <p> علاوه بر این ، محققان توانستند حداقل 3،460 آدرس IP را که به عنوان سرورهای C2 در سراسر جهان عمل می کردند ، شناسایی کنند ، از جمله 556 سرور که صرفاً برای دانلود جدید اختصاص داده شده بودند. افزونه ها و 22 IP که به هر دو نقش خدمت کرده اند. </p> <h2> تاریخچه توانایی های در حال تحول </h2> <p> منتشر شده از طریق کمپین های فیشینگ ایمیل ، TrickBot در سال 2016 زندگی خود را به عنوان یک تروجان بانکی آغاز کرد و سرقت مالی را تسهیل کرد. اما از آن زمان تحویل داده شده است تا انواع دیگر بدافزارها ، از جمله باج افزار Ryuk بدنام ، به عنوان یک سرقت اطلاعات ، غارت کیف پول Bitcoin و ایمیل و اعتبار خود را جمع آوری کنید. </p> <p> کمپین های malspam ارائه دهنده TrickBot با استفاده از مارک شخص ثالث آشنا است. گیرنده ، مانند فاکتورهای شرکتهای حسابداری و مالی. </p> <p> ایمیل ها معمولاً شامل یک پیوست مانند یک Microsoft Word یا Excel می شوند ، که با باز شدن ، کاربر را به فعال کردن ماکروها ترغیب می کند – از این طریق یک VBScript را اجرا می کند. اسکریپت PowerShell برای بارگیری نرم افزارهای مخرب. </p> <p> TrickBot همچنین توسط سایر بدافزارها به عنوان بار ثانویه کاهش یافته است ، که مهمترین آن توسط کمپین اسپم های تحت هدایت بات نت Emotet است. برای دستیابی به استقامت و فرار از تشخیص ، در این بدافزار پیدا شده است که یک کار و سرویس برنامه ریزی شده ایجاد کرده و حتی نرم افزار آنتی ویروس Windows Defender را غیرفعال و حذف می کند. </p> <p> این باعث شد مایکروسافت از ویژگی Tamper Protection برای محافظت در برابر مخرب و غیرمجاز استفاده کند. تغییرات در ویژگی های امنیتی در سال گذشته. </p> <p> "ماژول جدید rdpScanDll ممکن است جدیدترین در یک ماژول طولانی باشد که توسط TrickBot Trojan استفاده شده است ، اما این یکی از ویژگی های برجسته است که به دلیل استفاده از لیست کاملاً مشخصی از آدرس های IP ، "محققان نتیجه گرفتند. </p> <p>" با استفاده از زیرساخت های موجود از قربانیان TrickBot ، ماژول جدید نشان می دهد که مهاجمان ممکن است بر روی عمودی های دیگری غیر از امور مالی ، مانند خدمات ارتباط از راه دور و آموزش و تحقیقات نیز تمرکز کنند. "</p> </div> <p><script type= // l&&! o&& (jQuery.ajax (l url: "https://thehackernews.com/feeds/posts/default؟alt=json-in-script&max-results=4"، نوع: "دریافت" ، حافظه نهان: ! 1 ، dataType: "jsonp" ، موفقیت: تابع (e) {برای (var t = "http: // thehack ernews.com/"،r="http://thehackernews.com/"،s=0 ؛s<e.feed.entry.length ؛s++){for(var a = 0؛ a <e.feed.entry [s] .link.l طول؛ a ++) if ("alternate" == e.feed.entry [s] .link [a] .rel) {t = e.feed.entry [s] .link [a]. href؛ break} if ("محتوای" در e.feed.entry [s]) var n = e.feed.entry [s] .content. $ t؛ other n = "خلاصه" در e.feed.entry [s]؟ e.feed.entry [s] .smmary. $ t: "http://thehackernews.com/"؛ 100 <(n = n.replace (/ ] *> / g، "http: / /thehackernews.com/")).length&&(n=n.substring(0،90)) ؛var l = e.feed.entry [s] .title. $ t؛ l = l.substring (0،50) ؛ var o = e.feed.entry [s] .media $ thumbnail.url.replace (/ / s72 -c -e100 /، "/ s260-e100")؛ o = o.replace (/ http: / / 1 .bp .blogspot | http: / / 2 .bp .blogspot | http: / / 3 .bp .blogspot | http: / / 4 .bp .blogspot | https: / / 2 .bp .blogspot | https: / / 3 .bp .blogspot | https: / / 4 .bp .blogspot/ ، "https: //1.bp.blogspot ")، r + = '
http://thehackernews.com/" + l + "http://thehackernews.com/" /> </div> <div> <div class=' + l + '... [19659025] '+ n + "...
"} r + = " http://thehackernews.com/"،document.getElementById("result").innerHTML=r}})،e=window،t=document،r="script"،s="stackSonar"،e.StackSonarObject= s، e [s] = e [s] "http://thehackernews.com/" function () {(e [s] .q = e [s] .q "http://thehackernews.com/" [فشار(آرگومان)}،e[s] .l = 1 * تاریخ جدید ، a = t.createElement (r) ، n = t.getElementsByTagName (r) [0]، a.async = 1، a .src = "https://www.stack-sonar.com/ping.js" ، n.parentNode.insert قبل از (a ، n) ، stackSonar ("stack-connect" ، "233" ، o =! 0) }))؛ //]]> .