Ankare
Ekonomiskt motiverade hotaktörer fortsätter att experimentera med nya skadliga familjer som ofta hamnar i kombination med välkända trojaner som TrickBot. TrickBot-banken Trojan uppfattas som ett av de mest aktiva cyberhoten för 2019, och den användes i attacker mot försäljningsställenheter som tillhör olika leverantörer runt om i världen nyligen. Det som sticker ut med den senaste kampanjen är att den involverade användningen av en skadlig familj som inte sågs tidigare - hotet fungerar som en bakdörr Trojan och förlitar sig på DNS-protokollet för att kommunicera med kommandot och kontrollservern. Hotet har fått namnet Anchor, och närmare granskning av dess källkod avslöjade att det hade använts i andra attacker som hände under de senaste 12 månaderna.
Anchor Backdoor bygger på DNS-protokollet för att ta emot kommandon
Anchor-bakdörren är inte speciell när det gäller de funktioner som den verkligen stöder - den ger sina operatörer de grundläggande förmågorna att köra fjärrkommandon, liksom att hämta filer från en URL och köra dem på den komprometterade värden. Det finns dock en sak med Anchor-bakdörren som gör det bättre än liknande hot - det använder DNS-protokollet för att hämta kommandon från kontrollservern. Detta är ett av de viktigaste motiven till att Anchor-bakdörren lyckades hålla sig oupptäckt så länge - DNS-kommunikation filtreras av brandväggslösningar och antivirusprodukter sällan eftersom det ofta kan störa de anslutningar som används av legitim mjukvara. Genom att enbart använda DNS-protokollet kan Anchor-bakdörren fungera utan att generera bullrig nätverkstrafik som lätt kan upptäckas av automatiserade verktyg.
En av de troliga misstänkta bakom den senaste Trojan.TrickBot- och Anchor-kampanjen är FIN6, en ekonomiskt motiverad hotaktör som regelbundet deltar i attacker mot försäljningsställen över hela världen.
Ekonomiskt motiverade hotaktörer fortsätter att bedra företag med tiotals miljoner dollar varje år. FIN6 är en av de mest beryktade cyberbrottsgrupperna, men det finns många andra som väntar på deras chans att ta pengar från företag över hela världen - det är viktigt att skydda ditt företagsnätverk med användning av aktuell och ansedd datasäkerhet Produkter.
