Russische cybercrime-organisatie ontwikkelt vrijwel onzichtbare backdoor voor streng beveiligde netwerken

| SentinelOne | 2 min | 14 januari 2020 17:09
Copyright: SentinelOne
SentinelLabs, de research-tak van SentinelOne, heeft een nieuwe tool ontdekt die door de Russische cybercrime organisatie Trickbot is ontwikkeld. De bestandsloze backdoor is PowerTrick gedoopt, en kan vrijwel ongezien worden toegepast in hoogwaardige netwerken zoals die van financiële instellingen. PowerTrick is flexibel en effectief waardoor aanvallers die het gebruiken als het ware in stealth-modus te werk gaan. PowerTrick omzeilt de beschermende maatregelen en past zich aan aan de bestaande security-controls om zo streng beveiligde netwerken binnen te komen.

De onderzoekers SentinelOne, met aan het hoofd security-expert Vitali Kremez, vonden eerder deze maand al een connectie tussen Russische hackers en de inbraak bij de Universiteit van Maastricht. Of daarbij ook gebruik is gemaakt van PowerTrick is nog niet duidelijk. Trickbot lag al onder het vergrootglas bij de onderzoekers na hun vondst van het Anchor Project in december, een all-in-one toolkit om bedrijven op maat aan te vallen.

Trickbot richtte zich initieel op bankfraude. Inmiddels is de focus echter verschoven naar zakelijke omgevingen met gebruik van netwerk profiling, massale dataverzameling en inzet van laterale exploits. Ook de inzet van malware en andere technieken onderstreept deze strategische verandering, vergelijkbaar met een legitieme organisatie die van koers verandert afhankelijk van waar het meeste geld mee te verdienen is.

PowerTrick is een backdoor gebaseerd op PowerShell, de scripttaal van Microsoft voor het automatiseren van de taken en beheren van configuraties. De eerste infecties vindt plaats als een PowerShell-opdracht middels een normale TrickBot-infectie die gebruikmaakt van een hergebruikte backconnect module geheten “NewBCtest” die uitvoercommando’s kan accepteren. Na deze eerste fase wordt de opdracht gegeven een grotere backdoor te downloaden; dit proces is vergelijkbaar met wat er te zien is in PowerShell Empire met de verschillende stages. Daarnaast zagen de onderzoekers dat ook gebruikelijke functies van PowerShell werden ingezet om de aanval verder vorm te geven.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over SentinelOne

SentinelOne (NYSE: S) levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporings-functionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk.
Meer over SentinelOne

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191029200614.jpg
Drive value with data
20191029224512.jpg
Het no-nonsense internetbureau
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030101402.jpg
De grootste Nederlandse site over Android
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030103431.png
Conference by app developers, for app developers!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.