Rechercher

Analyse de menace : Trickbot

Comme le serpent chasse sa proie, le CyberSOC parisien d’Orange Cyberdefense traque un malware appelé Trickbot, attribué à un acteur malveillant connu sous les noms de Wizard Spider (Crowdstrike), UNC1778 (FireEye) ou Gold Blackburn (Secure Works). Trickbot est un cheval de Troie populaire et modulaire servant à compromettre des entreprises et diffuser d’autres types de charges malveillantes. Il a progressivement évolué vers du Malware-as-a-Service (MaaS) et est ainsi utilisé par plusieurs acteurs malveillants.

Ce que vous devez savoir

Cet acteur est connu pour agir vite, faire usage du célèbre outil de post-exploitation Cobalt Strike, se déplacer latéralement sur l’infrastructure réseau de l’entreprise et, en phase finale, déployer des ransomwares tels que Ryuk et Conti. Pouvoir détecter au plus tôt cette menace, par exemple, dès le vecteur d’accès initial, est un facteur clé de succès pour nos services de détection managés. Cette analyse se concentre sur l’acteur de menace TA551 et sur son utilisation de Trickbot. Nous décrirons comment nous détectons cette menace à plusieurs points de la Kill chain, depuis son mode opératoire par campagne de malspam, jusqu’à l’identification des outils exploités par les acteurs malveillants. Nous proposons aussi des informations complémentaires sur la manière dont ils se servent de ce malware, avant de nous pencher sur son évolution, comparativement à d’autres acteurs malveillants.

1. Accès initial

Depuis juin 2021, le groupe TA551 délivre Trickbot par le biais d’un ZIP chiffré. L’e-mail prétexte une information importante pour abaisser la vigilance de l’utilisateur.

Le fichier ZIP présente toujours les mêmes noms, « request.zip » ou « info.zip », et la même nomenclature pour le document.

NB : L’acteur malveillant concerné utilisait le même mode opératoire avant (et en parallèle de) Trickbot pour diffuser d’autres malwares. Sur la même période, de juin à septembre 2021, nous avons constaté l’utilisation de Bazarloader dans la charge du vecteur d’accès initial.

2. Exécution

Si l’utilisateur ouvre le document et active les macros, un fichier HTA est déposé sur le système et est lancé par cmd. exe. Ce fichier sert à télécharger la DLL Trickbot depuis le serveur distant.

Ce comportement est révélateur de TA551, nous l’identifions au moyen du pattern « /bdfh/ » dans la requête GET.

 

NB : Les modèles liés à TA551 évoluent au fil du temps. Depuis mi-août, le pattern utilisé est « /bmdff/ ».

La DLL est enregistrée en tant que fichier .jpg pour masquer l’extension réelle, et elle sera exécutée via regsvr32.exe. Ensuite, Trickbot sera injecté dans « wermgr.exe » en utilisant la technique du Process Hollowing.

Figure 1 – Exécution de Trickbot dans le Sandbox OCD (P2A)

3. Collecte

Après avoir commencé à compromettre le système, Trickbot peut collecter diverses informations sur la cible via des exécutables Windows légitimes, et définir si le système fait partie d’un domaine d’Active Directory.

Trickbot collecte aussi d’autres données comme la version de Windows, l’adresse IP publique, l’utilisateur qui exécute Trickbot, et si le système est placé derrière un NAT.

Par ailleurs, Trickbot peut récupérer des données sensibles, dont des informations bancaires, ou d’autres identifiants, et les exfiltrer vers son serveur C&C dédié.

4. Commande et contrôle

Une fois le système infecté, il peut contacter des serveurs C&C liés à Trickbot. Le principal serveur étant celui avec lequel le système victime communiquera pour se voir remettre de nouvelles instructions.

Toutes les requêtes vers un C&C Trickbot présentent le format suivant :
“/<gtag>/<Client_ID>/<command>/<additionnal information about the command>/”

 

Les données collectées sont envoyées au serveur d’exfiltration de Trickbot via des requêtes HTTP POST. Le format de la requête reste identique, mais la commande « 90 » est spécifique à l’exfiltration de données, en particulier des données système.

5.1 CobaltStrike

Cobalt Strike est un outil commercial d’accès distant, tout inclus, se présentant comme un logiciel de simulation d’attaque conçu pour exécuter et émuler les actions post-exploitation d’acteurs malveillants expérimentés. Ses capacités de post-exploitation interactives englobent les tactiques ATT&CK, toutes exécutées depuis un système unique et intégré.

Dans ce contexte, Trickbot utilise le process wermgr. exe pour charger CobaltStrike Beacon en mémoire.

5.2 Ransomware

Plusieurs opérateurs de ransomwares sont affiliés à des acteurs malveillants, chargés de l’accès initial pour ces opérateurs. Conti et Ryuk sont les ransomwares les plus observés à l’étape finale d’une infection par Trickbot.

Conti : disponible en Ransomware-as-a-Service et mis à disposition de plusieurs affiliés.
Ryuk : lié à l’acteur malveillant à l’origine de Trickbot.

Enseignements :

Certains acteurs s’appuient sur une technique de base, de type e-mail de phishing, pour s’introduire sur le réseau. Il convient donc de sensibiliser les utilisateurs à la prévention des risques liés au phishing.

Détecter Trickbot à différentes étapes est une des clés pour briser les chaînes d’attaque et éviter les compromissions. Trickbot est exploité par plusieurs acteurs, mais l’approche pour l’identifier est la même à certaines étapes.

Suivre et surveiller un malware ou un acteur malveillant en particulier est aussi une des clés pour se tenir au fait de son évolution et de ses améliorations, tout en maintenant une détection efficace de la menace.

Téléchargez le Security Navigator 2022 !