TrickBot恶意软件团伙将其主播后门升级为主播

就在TrickBot基础设施关闭之际，恶意软件的运营商仍在继续改进和重组他们的武库，以实施攻击，最终部署Conti勒索软件。

IBM Security X-Force发现了犯罪团伙主播后门的改进版本，并将其命名为新的、升级版主播。

IBM的恶意软件逆向工程师夏洛特·哈蒙德（Charlotte Hammond）说，AnchorMail“使用基于电子邮件的[命令和控制]服务器，通过TLS使用SMTP和IMAP协议与之通信。”。“除了经过大修的C2通信机制外，主播的行为与其前任主播的行为非常一致。”

TrickBot背后的网络犯罪参与者ITG23又名Wizard Spider，也因其开发的Anchor恶意软件框架而闻名，该框架是一个后门，至少自2018年以来，通过TrickBot和BazarBackdoor（又名BazarLoader）针对选定的高价值受害者，这是由同一组织设计的另一个植入物。

多年来，该集团还受益于与Conti勒索软件卡特尔的共生关系，后者利用TrickBot和BazarLoader有效载荷为部署文件加密恶意软件奠定了基础。

“到2021年底，康蒂基本上收购了TooBoT，其中有多个精英开发者和管理者加入了RoSoSoCasa NoSTRA，”AdvutelyYelsieBuuasLavkSee在二月中旬发布的一份报告中指出。

不到10天后，在恶意软件分发活动中出现了长达两个月的异常中断后，这些骗子演员关闭了他们的僵尸网络基础设施，这标志着他们的努力可能转向BazarBackdoor等更隐蔽的恶意软件家族。

在所有这些发展过程中，主播的后门也有了自己的改头换面。而前身则使用DNS隧道与C2服务器通信–；这项技术涉及滥用DNS协议，使恶意流量通过组织的防御系统–；较新的基于C++的版本使用精心编制的电子邮件消息。

“AnchorMail使用加密的SMTPS协议向指挥与控制系统发送数据，IMAPS用于接收数据，”哈蒙德指出，添加恶意软件通过创建一个计划任务建立持久性，该任务设置为每10分钟运行一次，然后联系指挥与控制服务器获取并执行任何要运行的命令。

这些命令包括执行从远程服务器检索的二进制文件、DLL和外壳代码、启动PowerShell命令以及从受感染的系统中删除自身的功能。

哈蒙德说：“这一新锚变体的发现为勒索软件攻击提供了一个新的秘密后门，突显了该组织升级其恶意软件的决心。”。“[AnchorMail]到目前为止只针对Windows系统进行了观察。然而，随着AnchorDNS被移植到Linux，AnchorMail的Linux变体似乎也可能出现。”