Anker
Økonomisk motiverte trusselaktører fortsetter å eksperimentere med nye malware-familier som ofte ender opp med å bli brukt i kombinasjon med kjente trojanere som TrickBot. TrickBot-banken Trojan blir oppfattet som en av de mest aktive netttruslene i 2019, og den ble brukt i angrep mot salgssteder som tilhører forskjellige leverandører over hele verden nylig. Det som skiller seg ut med denne nylige kampanjen er at den innebar bruk av en malware-familie som ikke ble sett tidligere - trusselen fungerer som en bakdør Trojan og er avhengig av DNS-protokollen for å kommunisere med Command and Control-serveren. Trusselen har fått navnet Anchor, og nærmere undersøkelse av kildekoden avdekket at den hadde blitt brukt i andre angrep som skjedde de siste 12 månedene.
Anchor Backdoor er avhengig av DNS-protokollen for å motta kommandoer
Bakdøren til Anchor er ikke spesiell med tanke på funksjonene den støtter absolutt - den gir operatørene de grunnleggende evnene til å utføre eksterne kommandoer, så vel som å hente filer fra en URL og utføre dem på den kompromitterte verten. Imidlertid er det en ting med Anchor-bakdøren som gjør det bedre enn lignende trusler - den bruker DNS-protokollen for å hente kommandoer fra kontrollserveren. Dette er et av hovedmotivene for at Anchor-bakdøren ikke klarte å holde seg uoppdaget så lenge - DNS-kommunikasjon blir filtrert av brannmurløsninger og antivirusprodukter sjelden siden dette ofte kan forstyrre forbindelsene som brukes av legitim programvare. Ved å bruke DNS-protokollen eksklusivt, er Anchor-bakdøren i stand til å fungere uten å generere støyende nettverkstrafikk som lett kan oppdages av automatiserte verktøy.
En av de sannsynlige mistenkte bak den siste Trojan.TrickBot og Anchor-kampanjen er FIN6, en økonomisk motivert trusselaktør som regelmessig er involvert i angrep mot salgssteder.
Økonomisk motiverte trusselaktører fortsetter å svindle virksomheter på titalls millioner dollar hvert år. FIN6 er en av de mest beryktede nettkriminalitetsgruppene, men det er mange andre som venter på deres sjanse til å ta penger til selskaper over hele verden - det er viktig å beskytte bedriftsnettverket ditt med bruk av oppdatert og anerkjent datasikkerhet Produkter.
