Anker
Financieel gemotiveerde bedreigingsactoren blijven experimenteren met nieuwe malwarefamilies die vaak worden gebruikt in combinatie met bekende Trojaanse paarden zoals TrickBot. De TrickBot-banktrojan wordt gezien als een van de meest actieve cyberdreigingen van 2019 en werd onlangs gebruikt bij aanvallen op verkooppuntapparaten van verschillende leveranciers over de hele wereld. Wat opvalt aan deze recente campagne is dat het gaat om het gebruik van een malwarefamilie die nog niet eerder werd gezien - de dreiging werkt als een Trojaanse achterdeur en vertrouwt op het DNS-protocol om te communiceren met de Command and Control-server. De dreiging heeft de naam Anchor gekregen, en een nadere inspectie van de broncode onthulde dat deze was gebruikt bij andere aanvallen die de afgelopen 12 maanden plaatsvonden.
De achterdeur van het anker is afhankelijk van het DNS-protocol om opdrachten te ontvangen
De achterdeur van het anker is niet speciaal in termen van de functies die het zeker ondersteunt - het biedt zijn operators de basismogelijkheden om externe opdrachten uit te voeren, evenals bestanden van een URL op te halen en uit te voeren op de gecompromitteerde host. Er is echter één ding aan de achterdeur van het anker dat het beter maakt dan vergelijkbare bedreigingen - het gebruikt het DNS-protocol om opdrachten van de controleserver op te halen. Dit is een van de belangrijkste redenen waarom de Anchor-achterdeur zo lang onopgemerkt bleef - DNS-communicatie wordt zelden gefilterd door firewall-oplossingen en antivirusproducten, omdat dit vaak interfereert met de verbindingen die worden gebruikt door legitieme software. Door uitsluitend het DNS-protocol te gebruiken, kan de achterdeur van het anker functioneren zonder lawaaierig netwerkverkeer te genereren dat gemakkelijk kan worden opgemerkt door geautomatiseerde tools.
Een van de waarschijnlijke verdachten achter de nieuwste Trojan.TrickBot en Anchor-campagne is FIN6, een financieel gemotiveerde bedreigingsacteur die regelmatig wereldwijd wordt betrokken bij aanvallen op point-of-sale-apparaten.
Financieel gemotiveerde bedreigingsactoren blijven bedrijven bedriegen met tientallen miljoenen dollars per jaar. FIN6 is een van de meest beruchte cybercrime-groepen, maar er zijn vele anderen die wachten op hun kans om het geld van bedrijven over de hele wereld te nemen - het is belangrijk om uw bedrijfsnetwerk te beschermen met behulp van actuele en gerenommeerde computerbeveiliging producten.
