{"id":3353,"date":"2021-10-18T12:52:03","date_gmt":"2021-10-18T12:52:03","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3353"},"modified":"2023-09-16T11:01:28","modified_gmt":"2023-09-16T11:01:28","slug":"ultime-attivita-della-cyber-gang-trickbot","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/ultime-attivita-della-cyber-gang-trickbot\/","title":{"rendered":"Ultime attivit\u00e0 della Cyber-gang TrickBot"},"content":{"rendered":"\n

Negli ultimi giorni sono stati osservati diversi nuovi attacchi Ransomware<\/em><\/strong> Conti<\/em><\/strong> associati alla presenza del malware TrickBot<\/em><\/strong>. L’aumento di attacchi e diffusione del ransomware sembrerebbe associata a nuovi accordi di affiliazione stretti tra i gruppi Hive0106<\/em><\/strong> e Hive0107<\/em><\/strong> con la gang TrickBot<\/em><\/strong>, nota anche per i malware BazarLoader<\/em><\/strong> e TirckBot<\/em><\/strong>.<\/p>\n\n\n\n

Il Malware<\/h2>\n\n\n\n

Il Trojan bancario TrickBot<\/em><\/strong> \u00e8 stato identificato per la prima volta nel 2016. Col passare del tempo la gang che lo ha sviluppato e dal quale il malware prende il nome, TrickBot<\/em><\/strong> (conosciuta anche con il nome di Wizard Spider<\/em><\/strong>), ha ampliato e migliorato le funzionalit\u00e0 del suo strumento, rendendolo un malware multi-purpose, capace di impiantare backdoor, effettuare il delivery di payload aggiuntivi ed eseguire attivit\u00e0 di movimenti laterali ed esfiltrazione dei dati con estrema rapidit\u00e0.<\/p>\n\n\n\n

Recentemente \u00e8 stato osservato il deploy del malware attraverso l’uso di mail di malspam<\/em><\/strong> che spingono la vittima a chiamare un call-center. Durante la chiamata la vittima viene reindirizzata ad un operatore che ha il compito di guidare l’utente al download e all’esecuzione del malware BazarLoader<\/em><\/strong>. Questa tecnica di distribuzione viene identificata con il nome di BazarCall<\/em><\/strong>.<\/p>\n\n\n\n

I nuovi affiliati<\/h2>\n\n\n\n

I nuovi affilitati alla gang TrickBot sono stati osservati in campagne passate per il loro uso di IceID<\/em><\/strong> (Hive0107). Entrambi hanno come target vari paesi dell’occidente, come Stati Uniti e Canada, ma anche vari paesi europei. Solitamente, il deploy del malware avviene attraverso un file zip<\/em> protetto da password (allegato ad una mail) contenente file HTA<\/em><\/strong> o script di vario genere (come WScript <\/em><\/strong>e JScript<\/em><\/strong>) la cui esecuzione porta al deploy del loader BazarLoader. <\/em><\/strong>Da qui una serie di comandi e script Powershell<\/strong>, associati a beacon CobaltStrike<\/em><\/strong> e codice per sfruttare la vulnerabilit\u00e0 PrintNightmare<\/em><\/strong> per ottenere privilegi amministrativi.<\/p>\n\n\n\n

Hive0106<\/h2>\n\n\n\n

Il gruppo Hive0106 <\/em><\/strong>\u00e8 noto per le sue campagne di spam e l’utilizzo di tecniche di Email Hijacking<\/strong><\/em>. Tale tecnica consiste nell’inserirsi all’interno di conversazioni private inviando contenuti malevoli mascherati come legittimi. Le campagne eseguite dal gruppo sono state osservate su diversi ambiti e aree geografiche, con diversi domini e siti utilizzati per distribuire software malevolo.<\/p>\n\n\n\n

Hive0107<\/h2>\n\n\n\n

Il gruppo Hive0107<\/strong><\/em>, invece, \u00e8 noto per la sua precedente affiliazione con IceID<\/strong><\/em>, spesa nella prima met\u00e0 del 2021. Le prime attivit\u00e0 relative all’utilizzo di TrickBot <\/strong><\/em>e <\/em>BazarLoader<\/strong> risalgono a Maggio 2021<\/strong><\/em>. Gli attacchi di Hive0107 sono caratterizzati dall’invio di link malevoli agli utenti, solitamente messaggi contenenti informazioni su azioni legali nei confronti del malcapitato. Il software malevolo viene distribuito tramite piattaforme in cloud e scaricato dal loader<\/em> al momento dell’infezione.<\/p>\n\n\n\n

Consigli<\/h2>\n\n\n\n

Per far fronte a questo genere di attacchi informatici si consiglia di eseguire attivit\u00e0 di Security Monitoring<\/strong> erogate tipicamente da servizi di tipo MDR<\/strong> (Managed Detection & Response<\/strong> e Security Operation Center<\/strong>). L’autenticazione a due fattori<\/strong> per l’accesso a dati sensibili \u00e8 sempre pi\u00f9 necessaria ed urgente, anche se non risolutiva. La consapevolezza da parte dei dipendenti dell’azienda sui rischi associati ad email, link e documenti sospetti \u00e8 una buona pratica per ridurre i rischi nei confronti di questo tipo di minacce.<\/p>\n\n\n\n

Riferimenti e approfondimenti<\/h2>\n\n\n\n
\n
Trickbot rising \u2014 Gang doubles down on infection efforts to amass network footholds<\/a><\/blockquote>