Kotwica
Zagrożeni finansowo aktorzy zagrożeń kontynuują eksperymenty z nowymi rodzinami złośliwego oprogramowania, które często są wykorzystywane w połączeniu ze znanymi trojanami, takimi jak TrickBot. Trojan bankowy TrickBot jest postrzegany jako jedno z najbardziej aktywnych cyberzagrożeń w 2019 r. I został ostatnio użyty w atakach na urządzenia w punktach sprzedaży należących do różnych dostawców na całym świecie. Cechą wyróżniającą tę ostatnią kampanię jest to, że wiązała się ona z wykorzystaniem rodziny szkodliwego oprogramowania, której wcześniej nie widziano - zagrożenie działa jak trojan typu backdoor i korzysta z protokołu DNS do komunikacji z serwerem Command and Control. Zagrożeniu nadano nazwę Anchor, a dokładniejsza kontrola jego kodu źródłowego ujawniła, że został wykorzystany w innych atakach, które miały miejsce w ciągu ostatnich 12 miesięcy.
Backdoor Anchor polega na protokole DNS do odbierania poleceń
Backdoor Anchor nie jest wyjątkowy pod względem funkcji, które z pewnością obsługuje - zapewnia swoim operatorom podstawowe możliwości wykonywania zdalnych poleceń, a także pobierania plików z adresu URL i wykonywania ich na zainfekowanym hoście. Jest jednak jedna rzecz w backdoorie Anchor, która sprawia, że jest lepsza niż podobne zagrożenia - używa protokołu DNS do pobierania poleceń z serwera kontrolnego. Jest to jeden z głównych motywów, dla których backdoorowi Anchor udało się pozostać niewykrytym przez tak długi czas - komunikacja DNS jest rzadko filtrowana przez zapory ogniowe i produkty antywirusowe, ponieważ często może to zakłócać połączenia wykorzystywane przez legalne oprogramowanie. Korzystając wyłącznie z protokołu DNS, backdoor Anchor może działać bez generowania hałaśliwego ruchu sieciowego, który byłby łatwo wykrywany przez zautomatyzowane narzędzia.
Jednym z prawdopodobnych podejrzanych stojących za najnowszą kampanią Trojan.TrickBot and Anchor jest FIN6, motywowany finansowo aktor, który regularnie bierze udział w atakach na urządzenia w punktach sprzedaży na całym świecie.
Zagrożeni finansowo aktorzy zagrożeń nadal oszukują firmy w wysokości dziesiątek milionów dolarów każdego roku. FIN6 jest jedną z najbardziej znanych grup cyberprzestępczych, ale jest wielu innych, którzy czekają na swoją szansę na zabranie pieniędzy firmom na całym świecie - ważne jest, aby chronić sieć firmową za pomocą aktualnego i renomowanego bezpieczeństwa komputerowego produkty.
