Masscan, Siber Güvenlik Uzmanları yerel ağ keşfini gerçekleştiren kötü amaçlı Trickbotyazılımının yeni bir bileşenini tespit ettiklerini söylüyorlar.
Masrv olarak adlandırılan bileşen , daha sonraki bir aşamada saldırıya uğrayabilecek açık bağlantı noktalarına sahip diğer sistemler için yerel ağları taramak için Masscan açık kaynak yardımcı programının bir kopyasını içerir .
Masrv’nin arkasındaki fikir, bileşeni yeni virüs bulaşmış cihazlara bırakmak, bir dizi Masscan komutu göndermek, bileşenin yerel ağı taramasına izin vermek ve tarama sonuçlarını bir Trickbot komut ve kontrol sunucusuna yüklemektir.
Tarama işlemi, dahili bir ağ içinde açık bırakılan hassas veya yönetim bağlantı noktalarına sahip sistemler bulursa – ki bu çoğu şirkette çok yaygındır – daha sonra Trickbot çetesi bu boşluklardan yararlanmada uzmanlaşmış diğer modülleri konuşlandırabilir ve yeni sistemleri etkilemek için yanal olarak hareket edebilir.
BÜYÜK İHTİMALLE ŞİMDİLİK BİR TEST MODÜLÜ
“Genel roman değil – bu Trickbot ama garip dahil edilebilmesi için,” Suweera DeSouza , Kryptos Logic bir zararlı yazılım analisti ve masrv keşfeden kişi, anlattı ZDNet bugün.
DeSouza, modülün hala test aşamasında olduğuna inandığını söyledi; bu, Trickbot’un geçmişte diğer modüllerle daha önce yaptığı ve genellikle ikinci aşama bileşenlerinden oluşan geniş cephaneliğine eklenen bir şey.
DeSouza, “Bu modülün yalnızca bir varyantıyla karşılaştık” dedi.
“Derlenen en son modül 4 Aralık 2020’de yapıldı. O zamandan beri modülün tekrar kullanıldığına rastlamadık.”
DeSouza ve meslektaşları tarafından yazılan yeni masrv Trickbot modülü için teknik bir analiz ve uzlaşma göstergeleri Kryptos Logic blogunda mevcuttur.
TRİCKBOT, EMOTET’İN ÖLÜMÜNÜN ARDINDAN YENİ KRAL OLDU
Diğer kötü amaçlı yazılım türlerinin de daha önce ağ keşif modüllerini içerdiği biliniyordu, ancak bu tür modüller ortak bir görüş değildir.
