Trickbot Truva Atının yeni numaraları

Son beş yılda Trickbot bankacılık Truva Atı, siber suçlular için oldukça işlevsel bir araca dönüştü.

Çözümlerimiz ilk kez tam olarak beş yıl önce, Ekim 2016’da Trickbot (diğer adıyla TrickLoader veya Trickster) adlı bir Truva Atıyla karşılaştı. O zamanlar çoğunlukla ev bilgisayarlarında görülen truva atının birincil görevi, çevrimiçi bankacılık hizmetlerine ait giriş bilgilerini çalmaktı. Ancak son yıllarda, yaratıcıları bankacılık Truva Atını aktif olarak çok işlevli modüler bir araca dönüştürdüler.

Dahası artık Trickbot, siber suçlu grupları arasında kurumsal altyapıya üçüncü taraf kötü amaçlı yazılımları yüklemek için kullanılan popüler bir dağıtım aracı haline geldi. Haber kaynakları yakın zamanda, Trickbot yazılımcılarının kötü amaçlı yazılımın, Conti fidye yazılımı gibi her türlü ek tehdidi kurumsal altyapıya bulaştırmak için kullanılması amacıyla çeşitli yeni ortaklarla bağlantı kurduklarını bildirdi.

Truva atının bu şekilde farklı bir amaç için kullanılması, kurumsal güvenlik operasyon merkezlerinin çalışanları ve diğer siber güvenlik uzmanları için ek bir tehlike oluşturabilir. Bazı güvenlik çözümleri, asıl uzmanlık alanı nedeniyle Trickbot’u hala bir bankacılık Truva Atı olarak kabul ediyor. Dolayısıyla, bunu tespit eden bilgi güvenliği çalışanları truva atını yanlışlıkla şirket ağına giren rastgele bir ev kullanıcısı tehdidi olarak görebilir. Gerçekte truva atının orada bulunması bir fidye yazılımı yükleme girişimi ve hatta hedefli bir siber casusluk operasyonunun bir parçası gibi çok daha ciddi bir şeye işaret ediyor olabilir.

Uzmanlarımız, C&C (komuta kontrol) sunucularından birinden Truva Atı’nın modüllerini indirmeyi başardı ve kapsamlı bir analiz gerçekleştirdi.

Trickbot artık neler yapabiliyor?

Bugünkü Trickbot’un temel amacı, yerel ağlara girmek ve yayılmaktır. Ardından Truva Atının operatörleri, elde ettikleri kurumsal altyapı erişimini üçüncü taraf saldırganlara satmaktan, hassas verileri çalmaya kadar çeşitli amaçlar için kullanabilir. Kötü amaçlı yazılımın şu anda:

  • Active Directory’den ve kayıt defterinden ağda yatay hareket imkanı sağlayan kullanıcı adlarını, parola hesaba dayalı adreslemelerini ve diğer bilgileri toplayabiliyor,
  • Bulaştığı bilgisayardaki internet trafiğini durdurabiliyor,
  • VNC protokolü aracılığıyla uzaktan cihaz kontrolü sağlayabiliyor,
  • Tarayıcılardan çerezleri çalabiliyor,
  • Kayıt defterinden, çeşitli uygulamaların veri tabanlarından ve yapılandırma dosyalarından oturum açma kimlik bilgilerini alabiliyor ve ayrıca kripto para cüzdanlarının özel anahtarlarını, SSL sertifikalarını ve veri dosyalarını çalabiliyor,
  • Tarayıcılardaki otomatik doldurma verilerini ve kullanıcıların internet sitelerindeki formlara girdiği bilgileri ele geçirebiliyor,
  • FTP ve SFTP sunucularındaki dosyaları tarayabiliyor,
  • Web sayfalarına kötü amaçlı komut dosyaları yerleştirebiliyor,
  • Yerel bir proxy üzerinden tarayıcı trafiğini yeniden yönlendirebiliyor,
  • Doğrulama sonuçlarını yanıltmak amacıyla sertifika zinciri doğrulamasından sorumlu API’leri ele geçirebiliyor,
  • Outlook profili kimlik bilgilerini toplayabiliyor, Outlook’taki e-postalara müdahale edebiliyor ve bu sayede spam gönderebiliyor,
  • OWA hizmetini arayabiliyor ve zorla giriş saldırısı düzenleyebiliyor,
  • Donanıma düşük seviye erişim elde edebiliyor,
  • Bilgisayara donanım düzeyinde erişim sağlayabiliyor,
  • Güvenlik açıklarını bulmak için alan adlarını tarayabiliyor,
  • SQL sunucularının adreslerini bulabiliyor ve bunlar üzerinde arama sorguları yürütebiliyor,
  • EternalRomance ve EternalBlue açıklarından yararlanarak yayılabiliyor,
  • VPN bağlantıları oluşturabiliyor.

Modüllerin ayrıntılı açıklamasına ve risk göstergelerine Securelist gönderimizden ulaşabilirsiniz.

Trickbot Truva Atına karşı nasıl korunulur

İstatistikler, bu yıl Trickbot Truva Atının çoğunlukla ABD, Avustralya, Çin, Meksika ve Fransa’da tespit edildiğini gösteriyor. Ancak bu, özellikle yazılımcılarının diğer siber suçlularla işbirliği yapmaya hazır olduğu da düşünüldüğünde, diğer bölgelerin güvenli olduğu anlamına gelmiyor.

Şirketinizin bu Truva Atının kurbanı olmasını önlemek için internet bağlantısı olan tüm cihazları yüksek kaliteli bir güvenlik çözümü ile donatmanızı öneriyoruz. Ayrıca, şirket altyapısındaki şüpheli etkinliğin tespiti için siber tehdit izleme hizmeti kullanmak da iyi bir fikirdir.

İpuçları