【安全资讯】ITG23网络犯罪团伙正扩大恶意软件分发渠道

猎影实验室 2021-10-15 06:27:44 8178人浏览

引言

ITG23是一个著名的网络犯罪团伙,也被称为“TrickBot Gang”和“Wizard Spider”。研究人员发现该组织正在积极扩大其恶意软件分发渠道,用Trickbot和BazarLoader感染企业用户,因此导致了更多的勒索软件攻击,尤其是使用Conti勒索软件的攻击。

 

简况

ITG23是Trickbot银行木马的开发者,该木马于2016年首次被发现,最初用于网上银行欺诈。近年来,Trickbot已发展成为一个模块化恶意软件家族,能够窃取凭据并横向移动,并被用于下载其他后门和勒索软件,如 Ryuk 和 Conti。ITG23 还负责开发名为 BazarLoader 的加载程序及其最常见的有效负载BazarBackdoor,该负载于 2020 年 4 月首次被发现。此外,Trickbot的开发人员也是Anchor后门的开发者。

 

BazarCall被追踪为Hive0105组织的活动,Hive0105和ITG23正密切合作。在最近的攻击活动中,攻击者发送虚假邮件,宣布收件人购买了贾斯汀·比伯(Justin Bieber)巡回演唱会的门票。BazarCall活动于 2021 年 2 月开始,最近几个月几乎每周都在展开其攻击活动。Hive0105的攻击活动通常会导致数据泄露和勒索软件部署。BazarCall电子邮件诱饵如下:

ITG23组织在最近几个月扩大了其用于分发其关键初始有效载荷的渠道。研究人员观察到,ITG23与另外两个恶意软件分发附属机构 Hive0106(又名 TA551)和 Hive0107 展开合作。这些犯罪团伙通过劫持电子邮件线程、使用虚假的客户响应表和社会工程员工以及BazarCall虚假呼叫中心,部署恶意软件感染企业网络。

 

ITG23与Hive0106的合作

Hive0106也被称为 TA551、Shathak 和 UNC2420,是一个与精英网络犯罪团伙合作的以经济为动机的威胁组织。该组织自2016年以来一直活跃,之前曾分发过Valak、IcedID和QakBot等有效载荷。该组织于 2021 年 6 月下旬开始分发带有“zev”gtag 的 Trickbot软件,在2021年7月中下旬转变为分发BazarLoader。9 月和 10 月,Hive0106恢复分发Trickbot软件。

在最近的传播Trickbot和BazarLoader的活动中,当启用宏时,恶意文档会释放一个 HTML 应用程序 (HTA) 文件。HTA 文件包含超文本代码,也可能包含 VBScript 或 JScript 脚本。HTA 文件然后下载 Trickbot 或 BazarLoader,随后下载 Cobalt Strike。

 

ITG23与Hive0107的合作

今年夏天,ITG23还与Hive0107组织合作,分发 Trickbot 和 BazarLoader。该组织此前曾被发现在 2021 年初分发IcedID。该组织主要针对美国,其次是加拿大和欧洲的组织。此前,Hive0107使用组织网站上的客户联系表格向不知情的员工发送恶意链接,称受害人使用的图像侵犯了版权。这些链接托管在大多数组织使用的合法云存储服务和文件驱动器上。内容通常包括挑衅性语言,威胁称要进行法律诉讼和罚款,从而让收件人迫于压力点击链接。“被盗图像证据”诱饵如下图:

从 2021 年 8 月下旬开始,Hive0107 开始使用新的方法,通知目标公司其网站一直在对其服务器进行分布式拒绝服务 (DDoS) 攻击,并提供包含伪造的证据以及如何“修复”问题的链接。然后使用合法电子邮件服务将输入客户查询表的内容通过电子邮件发送给目标组织内的员工。单击该链接可下载包含恶意JS下载程序的 ZIP 存档。该 JS 文件联系新创建的域上的 URL 以下载 BazarLoader,随后下载Cobalt Strike 和 PowerShell脚本来利用PrintNightmare 漏洞(CVE-2021-34527)。

 

与Conti勒索软件的联系

自2021年6月以来,Trickbot 和 BazarLoader交付量的增加可能导致Conti勒索软件攻击相应增加。如上所述,在 BazarLoader 和 Trickbot 交付之后,通常会发生勒索软件攻击,包括使用Conti的攻击。网络安全和基础设施安全局 (CISA) 观察到 Conti 勒索软件的使用有所增加,并于9月22日发布了警报

总结

2020年9月,美国网络司令部和微软采取大量措施破坏ITG23的运营。但该团伙改变了其基础设施,并继续在野外活动。最近,ITG23 扩大其恶意软件传播方式的举措表明,该组织已经从去年的中断中逐渐恢复过来。

失陷指标(IOC)19
ITG23 Trickbot BazarLoader Hive0106 Hive0107 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。