Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

TrickBot, een multifunctionele Windows-malware, is geëvolueerd als een van de betrouwbare achterdeurtjes voor verschillende andere payloads. In een recent rapport ontdekte een onderzoeker dat TrickBot’s Anchor-malware nu aanwezig is met een nieuwe Linux-versie.

TrickBot Anchor_Linux malware

Genoemd als Anchor_Linux, de malware heeft een Windows-uitvoerbaar bestand dat is ontworpen om zowel Linux– als Windows-systemen op hetzelfde netwerk te infecteren.

De malware besmet eerst Linux-systemen en kan erdoorheen communiceren om de payloads op Windows-machines uit te voeren. Volgens onderzoekers fungeert de malware als een geheime backdoor in de UNIX-omgeving waarmee de malware naar Windows kan draaien. Naast het fungeren als backdoor die malware op het Linux-apparaat kan laten vallen en uitvoeren, bevat de malware ook een ingebed uitvoerbaar Windows TrickBot. Veel IoT-apparaten zoals routers, computers, VPN-apparaten en NAS-apparaten met Linux-distributies kunnen mogelijk worden beïnvloed door de Anchor_Linux-malware van TrickBot.

Een logbestand (/tmp/anchor.log) op een Linux-systeem is het bewijs dat de gebruiker is geïnfecteerd door de Anchor_Linux-malware.

TrickBot is een multifunctioneel Windows-malwareplatform dat verschillende modules gebruikt om verschillende kwaadaardige activiteiten uit te voeren, waaronder het stelen van informatie, het stelen van wachtwoorden, het infiltreren van Windows-domeinen en het afleveren van malware. TrickBot wordt gehuurd door bedreigingsactoren die het gebruiken om een ​​netwerk te infiltreren en alles van waarde te oogsten. Het wordt vervolgens gebruikt om ransomware zoals Ryuk en Conti in te zetten om de apparaten van het netwerk als laatste aanval te versleutelen.

Eind 2019 rapporteerden zowel SentinelOne als NTT een nieuw TrickBot-framework genaamd Anchor, dat DNS gebruikt om te communiceren met zijn command en control servers.

TrickBot’s Anchor backdoor malware wordt geport naar Linux

Historisch gezien was Anchor een Windows-malware. Onlangs is door Waylon Grange, onderzoeker van Stage 2 Security, een nieuw voorbeeld ontdekt dat aantoont dat Anchor_DNS is geporteerd naar een nieuwe Linux-backdoor-versie genaamd ‘Anchor_Linux’.

Erger nog, veel IoT-apparaten zoals routers, VPN-apparaten en NAS-apparaten draaien op Linux-besturingssystemen, wat mogelijk een doelwit zou kunnen zijn voor Anchor_Linux.

Oorsprong van de Anchor_Linux malware

De Anchor_Linux-malware is ontwikkeld door de Anchor_DNS-malware te porten naar een nieuwe Linux backdoor-versie.

  • De Anchor_DNS-malware is gebruikt op hoogwaardige, impactvolle targets met waardevolle financiële informatie.
  • In een aanvalscampagne in december 2019 gebruikten aanvallers een nieuwe variant van de zeldzame Anchor_DNS-tool als backdoor om heimelijk te kunnen communiceren met C2-servers.
  • Er wordt aangenomen dat Anchor_Linux nog in ontwikkeling is vanwege de testfunctionaliteit die aanwezig is in het Linux-uitvoerbare bestand.

De volgende stappen

Er wordt aangenomen dat Anchor_Linux nog in ontwikkeling is vanwege de testfunctionaliteit die aanwezig is in het Linux-uitvoerbare bestand. Beveiligingsexperts zeggen dat Linux-systemen en IoT-apparaten voldoende bescherming en controle moeten hebben om bedreigingen zoals Anchor_Linux te detecteren.

Bronnen: cyware.com en bleepingcomputer

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen
TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Gerelateerde berichten

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

MS Teams

Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

teamviewer

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

BootHole

BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen

cisco

Kwetsbaarheid in Cisco FTD en ASA zorgt voor lek van gevoelige data

emotet

Emotet botnet keert na 5 maanden terug

sigred kwetsbaarheid

SIGRed, een “wormable” kritieke kwetsbaarheid in Windows DNS-Server

f5 kwetsbaarheid

Ernstige kritieke kwetsbaarheid in BIG-IP ADC van F5

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

acht + 17 =

Menu