第223期安全事件
2020/03/16-2020/03/22
| 英文標(biāo)題 | New TrickBot Module Bruteforces RDP Connections, Targets Select Telecommunication Services in US and Hong Kong |
| 中文標(biāo)題 | 新 TrickBot 模塊可進(jìn)行 RDP 暴力破解 |
| 作者及單位 | Liviu ARSENE&Radu Tudorica&Alexandru MAXIMCIUC&Cristina VATAMANU |
| 內(nèi)容概述 |
Bitdefender 研究人員于 1 月 30 日發(fā)現(xiàn)了一個(gè)新的 TrickBot 模塊 rdpScanDll,該模塊可用于對(duì)選定目標(biāo)進(jìn)行 RDP 暴力破解。TrickBot 新模塊主要針對(duì)美國(guó)和中國(guó)香港的電信、教育和金融服務(wù)行業(yè)。當(dāng) TrickBot 開(kāi)始執(zhí)行時(shí),它會(huì)創(chuàng)建一個(gè)文件夾,其中包含加密的惡意載荷、相關(guān)的配置文件和 C2 服務(wù)器列表,插件需要與 C2 服務(wù)器通信以檢索要執(zhí)行的命令。rdpScanDll 通過(guò)三種攻擊模式執(zhí)行,當(dāng) Check 模式檢查目標(biāo)列表中的 RDP 連接時(shí),TryBute 模式嘗試使用從端點(diǎn)“/RDP/names”和“/RDP/dict”獲得的預(yù)定用戶(hù)名和密碼列表,然后對(duì)選定的目標(biāo)進(jìn)行暴力破解。因其包含一組未調(diào)用的可執(zhí)行函數(shù),且不獲取用戶(hù)名列表,導(dǎo)致插件使用空密碼和用戶(hù)名來(lái)驗(yàn)證目標(biāo)列表,所以研究人員認(rèn)為該模塊仍在開(kāi)發(fā)中。TrickBot 的更新機(jī)制中,橫向移動(dòng)模塊接收最多的更新。TrickBot 的動(dòng)態(tài)的 C2 基礎(chǔ)設(shè)施,主要位于俄羅斯,并且每月會(huì)增加上百個(gè)新的 C2 IP 地址,平均使用時(shí)間為 16 天。 |
| 新聞鏈接 |
https://labs.bitdefender.com/2020/03/new-trickbot-module-bruteforces-rdp-connections-targets-select-telecommunication-services-in-us-and-hong-kong/ |