TrickBot missbraucht infizierte PCs für RDP-Brute-Force-Angriffe

Vor kurzem wurde ein neues Modul für den Bank-Trojaner TrickBot in the wild" entdeckt, das es Angreifern ermöglicht, kompromittierte Systeme zu nutzen, um Brute-Force-Angriffe gegen ausgewählte Windows-Systeme zu starten, auf denen eine RDP-Verbindung (Remote Desktop Protocol) zum Internet besteht.

Das Modul mit dem Namen "rdpScanDllwurde am 30. Januar entdeckt und soll sich noch in der Entwicklung befinden, sagte die Cybersicherheitsfirma Bitdefender in einem Bericht.

Den Forschern zufolge hat das Brute-Force-Modul rdpScanDll bisher versucht, 6.013 RDP-Server von Unternehmen aus dem Telekommunikations-, Bildungs- und Finanzsektor in den USA und Hongkong ins Visier zu nehmen.

Die Malware-Autoren, die hinter TrickBot stehen, sind auf die Veröffentlichung neuer Module und Versionen des Trojaners spezialisiert und versuchen, seine Fähigkeiten zu erweitern und zu verfeinern.

"Die Flexibilität, die diese modulare Architektur ermöglicht, hat TrickBot zu einer sehr komplexen und ausgeklügelten Malware gemacht, die eine Vielzahl von bösartigen Aktivitäten ausführen kann, solange es ein Plugin dafür gibt", so die Forscher.

"Von Add-ons zum Stehlen von sensiblen OpenSSH- und OpenVPN-Daten bis hin zu Modulen, die SIM-Swapping-Angriffe durchführen, um die Kontrolle über die Telefonnummer eines Benutzers zu übernehmen, und sogar die in Windows integrierten Sicherheitsmechanismen vor dem Herunterladen der Hauptmodule deaktivieren - TrickBot ist ein Tausendsassa".

Wie funktioniert das TrickBot RDP Brute-Force-Modul?

Wenn TrickBot seine Ausführung beginnt, erstellt es einen Ordner mit den verschlüsselten bösartigen Nutzlasten und den zugehörigen Konfigurationsdateien, der eine Liste von Command-and-Control (C2)-Servern enthält, mit denen das Plugin kommunizieren muss, um die auszuführenden Befehle abzurufen.

Laut Bitdefender teilt das rdpScanDll-Plugin seine Konfigurationsdatei mit einem anderen Modul namens "vncDll", während es ein Standard-URL-Format zur Kommunikation mit den neuen C2-Servern  verwendet: https://C&C/tag/computerID/controlEndpunkt

Dabei bezieht sich "C&C" auf den C2-Server, "tag" auf das vom TrickBot-Beispiel verwendete Gruppen-Tag, "computerID" auf die von der Malware verwendete Computer-ID und "controlEndpoint" auf eine Liste der Angriffsmodi (Check, Trybrute und Brute) und die Liste der IP-Adress-Port-Nummernkombinationen, auf die ein RDP-Brute-Force-Angriff abzielt.Während der "check"-Modus eine RDP-Verbindung aus der Liste der Ziele prüft, versucht der "trybrute"-Modus eine Brute-Force-Operation auf das ausgewählte Ziel unter Verwendung einer vorgegebenen Liste von Benutzernamen und Passwörtern, die von den Endpunkten "/rdp/names" bzw. "/rdp/dict" erhalten werden.

Der "Brute"-Modus scheint sich nach Ansicht der Forscher noch in der Entwicklung zu befinden. Er umfasst nicht nur eine Reihe von ausführbaren Funktionen, die nicht aufgerufen werden, sondern der Modus "holt die Liste der Benutzernamen nicht ab, was dazu führt, dass das Plugin Null-Passwörter und Benutzernamen zur Authentifizierung auf der Zielliste verwendet".

Wenn die anfängliche Liste der über "/rdp/domains" gesammelten Ziel-IPs erschöpft ist, holt das Plugin dann einen weiteren Satz frischer IPs über einen zweiten "/rdp/over"-Endpunkt.Die beiden Listen, die jeweils 49 und 5.964 IP-Adressen umfassen, enthalten Ziele in den USA und Hongkong, die sich auf die Bereiche Telekommunikation, Bildung, Finanzen und wissenschaftliche Forschung erstrecken.

Plugins für laterale Bewegung oben

Darüber hinaus wurde im Bitdefender-Bericht der Update-Bereitstellungsmechanismus von TrickBot detailliert beschrieben, wobei festgestellt wurde, dass Plugins, die für die seitliche Bewegung im Netzwerk verantwortlich sind (WormDll, TabDll, ShareDll), die meisten Updates erhielten, gefolgt von Modulen, die bei der "System- und Netzwerk"-Aufklärung (SystemInfo, NetworkDll) und beim Daten-Harvesting (ImportDll, Pwgrab, aDll) im Laufe der letzten sechs Monate halfen.

"Bei der Überwachung der Aktualisierungen der bösartigen Plugins haben wir festgestellt, dass die am häufigsten aktualisierten Plugins diejenigen waren, die seitliche Bewegungen ausführen: 32,07% von ihnen waren wormDll, 31,44% waren shareDll und 16,35% waren tabDll", stellten die Forscher fest. "Die restlichen Plugins hatten weniger als 5% Vorkommen".

Darüber hinaus konnten die Forscher mindestens 3.460 IP-Adressen identifizieren, die weltweit als C2-Server fungierten, darunter 556 Server, die ausschließlich für das Herunterladen neuer Plugins bestimmt waren, und 22 IPs, die beide Funktionen erfüllen.

Eine Geschichte der sich entwickelnden Fähigkeiten

Über E-Mail-Phishing-Kampagnen verbreitet, begann TrickBot 2016 sein Leben als Bank-Trojaner und erleichterte damit den Finanzdiebstahl. Seitdem hat er sich jedoch weiterentwickelt, um andere Arten von Malware zu verbreiten, einschließlich der berüchtigten Ryuk-Lösegeldforderung, als Informationsdieb, zur Beute von Bitcoin-Brieftaschen und zum Sammeln von E-Mails und Zugangsdaten.

Die Malspam-Kampagnen, die TrickBot ausliefern, verwenden das Branding von Dritten, das dem Empfänger bekannt ist, wie z.B. Rechnungen von Buchhaltungs- und Finanzunternehmen.

Die E-Mails enthalten in der Regel einen Anhang, wie z. B. ein Microsoft Word- oder Excel-Dokument, das den Benutzer beim Öffnen auffordert, Makros zu aktivieren - dabei wird ein VBScript ausgeführt, um ein PowerShell-Skript zum Herunterladen der Malware auszuführen.

TrickBot wird auch als sekundäre Nutzlast von anderer Malware fallen gelassen, insbesondere von der Emotet Botnet-gesteuerten Spam-Kampagne. Um Persistenz zu erlangen und der Erkennung zu entgehen, wurde festgestellt, dass die Malware eine geplante Aufgabe und einen Dienst erstellt und sogar die Antiviren-Software Windows Defender deaktiviert und löscht.

Dies veranlasste Microsoft im vergangenen Jahr zur Einführung einer Funktion zum Schutz vor böswilligen und unbefugten Änderungen der Sicherheitsfunktionen.

"Das neue rdpScanDll-Modul mag das neueste in einer langen Reihe von Modulen sein, die vom TrickBot-Trojaner verwendet wurden, aber es ist eines, das sich durch die Verwendung einer sehr spezifischen Liste von IP-Adressen auszeichnet", schlossen die Forscher.

"Unter Verwendung einer bestehenden Infrastruktur von TrickBot-Opfern deutet das neue Modul darauf hin, dass Angreifer sich möglicherweise auch auf andere vertikale Bereiche als den Finanzbereich konzentrieren, wie z.B. Telekommunikationsdienste und Bildung und Forschung", so die Forscher.