Selbst als die TrickBot-Infrastruktur ihren Betrieb einstellte, haben die Betreiber der Malware ihr Arsenal weiter verfeinert und umgerüstet, um Angriffe auszuführen, die in der Entwicklung der Conti-Ransomware gipfelten.
IBM Security X-Force, das die überarbeitete Version der AnchorDNS-Backdoor der kriminellen Bande entdeckte, nannte die neue, verbesserte Variante AnchorMail.
AnchorMail „verwendet einen E-Mail-basierten [Befehls- und Kontroll-]Server, mit dem es über die Protokolle SMTP und IMAP über TLS kommuniziert“, so Charlotte Hammond, Malware Reverse Engineer bei IBM. „Mit Ausnahme des überarbeiteten C2-Kommunikationsmechanismus ist das Verhalten von AnchorMail sehr ähnlich zu dem seines Vorgängers AnchorDNS.“
Der Cyberkriminelle, der hinter TrickBot steckt, ITG23 alias Wizard Spider, ist auch für die Entwicklung des Anchor-Malware-Frameworks bekannt, einer Backdoor, die seit mindestens 2018 über TrickBot und BazarBackdoor (alias BazarLoader), einem weiteren von derselben Gruppe entwickelten Implantat, für ausgewählte hochwertige Opfer reserviert ist.
Im Laufe der Jahre hat die Gruppe auch von einer symbiotischen Beziehung mit dem Conti-Ransomware-Kartell profitiert, das die TrickBot- und BazarLoader-Payloads nutzte, um eine Basis für die Verbreitung der dateiverschlüsselnden Malware zu schaffen.
„Ende 2021 hatte Conti TrickBot im Wesentlichen übernommen und mehrere Elite-Entwickler und Manager schlossen sich der Ransomware Cosa Nostra an“, so Yelisey Boguslavskiy von AdvIntel in einem Mitte Februar veröffentlichten Bericht.
Weniger als 10 Tage später schalteten die TrickBot-Akteure ihre Botnet-Infrastruktur nach einer ungewöhnlichen zweimonatigen Pause in den Malware-Verbreitungskampagnen ab und konzentrierten sich nun wahrscheinlich auf heimlichere Malware-Familien wie BazarBackdoor.
Inmitten all dieser Entwicklungen hat die AnchorDNS-Backdoor ein eigenes Facelifting erhalten. Während das Vorgängermodell mit seinen C2-Servern über DNS-Tunneling kommuniziert – eine Technik, bei der das DNS-Protokoll missbraucht wird, um bösartigen Datenverkehr an den Abwehrmechanismen eines Unternehmens vorbeizuschleusen -, nutzt die neuere C++-basierte Version speziell gestaltete E-Mail-Nachrichten.
„AnchorMail verwendet das verschlüsselte SMTPS-Protokoll, um Daten an den C2-Server zu senden, und IMAPS, um sie zu empfangen“, so Hammond. Er fügte hinzu, dass die Malware eine geplante Aufgabe erstellt, die alle 10 Minuten ausgeführt wird, und anschließend den C2-Server kontaktiert, um alle auszuführenden Befehle abzuholen und auszuführen.
Zu den Befehlen gehören die Ausführung von Binärdateien, DLLs und Shellcode, die vom Remote-Server abgerufen werden, das Starten von PowerShell-Befehlen und das Löschen der infizierten Systeme.
„Die Entdeckung dieser neuen Anchor-Variante fügt eine neue geheime Hintertür für Ransomware-Angriffe hinzu und unterstreicht das Engagement der Gruppe, ihre Malware zu verbessern“, sagte Hammond. „[AnchorMail] wurde bisher nur für Windows-Systeme beobachtet. Da AnchorDNS jedoch auf Linux portiert wurde, ist es wahrscheinlich, dass es auch eine Linux-Variante von AnchorMail geben wird.“