robsonphoto - stock.adobe.com

Trickbot : une bonne raison de plus de s’en méfier

Ce maliciel est connu pour s’inviter régulièrement avec Emotet, en amont du déploiement de rançongiciels, à commencer par Ryuk. Mais il apparaît avoir également séduit les attaquants soutenus par des États.

Délinquance financière d’un côté, soutien logistique à des missions conduites pour le compte d’États peu scrupuleux, les fameuses APT, ou Advanced Persistent Threats. Les opérateurs de la variante Anchor de Trickbot semblent jouer sur les deux fronts, afin de maximiser leurs possibilités de monétisation des intrusions réussies.

Dans un billet de blog, les équipes de recherche sur les menaces de SentinelOne, emmenées par Vitali Kremez, se penchent sur ce qui ressemble à une exception, presque une anomalie, dans le monde de la cyber-mécréance : « le mode opératoire des APT consiste en des attaques ciblées sur des réseaux extrêmement sécurisés, y restant tapis pour de longues périodes, et de l’espionnage, loin des crimeware et de Trickbot qui sont généralement déployés pour le seul gain financier ». Mais le projet Anchor fait exception à la règle : il peut répondre autant aux besoins des cyberdélinquants spécialistes de l’extorsion ou du vol d’identifiants – notamment – que d’acteurs plus avancés.

Selon les chercheurs, la structure d’Anchor « est conçue pour secrètement téléverser le maliciel et nettoyer tout indice de l’attaque ». S’avancer plus sur les buts recherchés apparaît difficile : l’examen de n’importe quel module de Trickbot permet d’en comprendre clairement le rôle. Mais pour Anchor, on observe une combinaison de fonctionnalités, d’outils et de méthodes. Peu d’options semblent laissées de côté, avec de quoi, nativement, mettre à profit Metasploit, Cobalt Strike, TerraLoader, ou encore PowerShell Empire.

En substance, si « les modules de Trickbot sont conçus pour répondre aux besoins d’un client et d’une activité criminelle précise », le projet Anchor représente un « outil complexe et furtif pour l’extraction ciblée de données à partir d’environnements sécurisés, et pour y rester à long terme ».

Le premier d’entre eux semble avoir été le groupe Lazarus, lié à la Corée du Nord. Une demi-surprise : c’est l’un des rares groupes APT à chercher le gain financier, soulignent les experts de SentinelOne. Pour eux, ceci n’est qu’un exemple illustrant « la conclusion de plusieurs années d’évolution de la cybercriminalité, un point où s’assemblent toutes les pièces du puzzle ». Une raison de plus pour se méfier de Trickbot et prendre la menace avec le plus grand sérieux, au-delà du risque d’infection par un ransomware comme Ryuk.

Pour approfondir sur Menaces, Ransomwares, DDoS