La evidencia recién encontrada sugiere que dos grupos ciberdelincuentes, FIN6 y los operadores detrás del troyano bancario TrickBot, se han unido para atacar a varias organizaciones con el marco de malware de TrickBot llamado "Anchor".
Anchor se ha visto activo desde el 2018 y parece estar estrechamente conectado a TrickBot y es probable que sea creado por los mismos autores de malware que trabajan en TrickBot, dijeron investigadores con IBM X-Force en su nuevo informe . Anchor es "un marco de ataque todo en uno", que contiene varios submódulos diseñados para ayudar a los atacantes a extenderse lateralmente en una red (como la capacidad de instalar puertas traseras).
Activo desde al menos 2015, el grupo FIN6 (también conocido como "ITG08") se dirige principalmente a máquinas de puntos de venta (POS) en minoristas tradicionales y empresas del sector de la hospitalidad en los EE. UU. Y Europa, mientras que TrickBot es Una variedad de malware que comenzó como un troyano bancario, pero que a lo largo de los años se ha convertido en un malware multipropósito.
En los últimos seis meses, los investigadores detectaron una ola de ataques cibernéticos utilizando el marco Anchor y otra herramienta de TrickBot, PowerTrick (una puerta trasera basada en PowerShell), dirigida a redes empresariales, incluidos los sistemas POS, después de la infección inicial por el troyano TrickBot.
Las pistas que indican la participación de FIN6 son el cargador y la puerta trasera que se utilizan en los ataques, es decir, el cargador Terraloader, y una puerta trasera conocida como "More_eggs", los cuales han sido observados previamente en los ataques anteriores por FIN6.
“Otras pistas conectan ITG08 con TrickBot y el otro malware de sus operadores. En términos generales, las tácticas utilizadas para desplegar More_eggs en entornos de víctimas, así como otras tácticas, técnicas y procedimientos de actores de amenazas (TTP) utilizados durante estas campañas de Anchor, son inusualmente consistentes con los utilizados por ITG08 ”, se lee en el informe.
“En una nota final, X-Force IRIS no tiene conocimiento de otros actores de amenazas que implementan la combinación de cargadores de código de shell TerraLoader, More_eggs y Metasploit de la manera descrita anteriormente. Esta actividad, combinada con los TTP adicionales atribuidos a ITG08, como el uso de Metasploit, Cobalt Strike y AdFind mientras apunta a los sistemas POS, nos lleva a concluir con confianza que ITG08 es uno de los actores de amenazas que usan el marco de malware PowerTrick de TrickBot y Anchor. . "
https://securityintelligence.com/posts/itg08-aka-fin6-partners-with-trickbot-gang-uses-anchor-framework/
