第223期安全事件
2020/03/16-2020/03/22
英文标题 | New TrickBot Module Bruteforces RDP Connections, Targets Select Telecommunication Services in US and Hong Kong |
中文标题 | 新 TrickBot 模块可进行 RDP 暴力破解 |
作者及单位 | Liviu ARSENE&Radu Tudorica&Alexandru MAXIMCIUC&Cristina VATAMANU |
内容概述 |
Bitdefender 研究人员于 1 月 30 日发现了一个新的 TrickBot 模块 rdpScanDll,该模块可用于对选定目标进行 RDP 暴力破解。TrickBot 新模块主要针对美国和中国香港的电信、教育和金融服务行业。当 TrickBot 开始执行时,它会创建一个文件夹,其中包含加密的恶意载荷、相关的配置文件和 C2 服务器列表,插件需要与 C2 服务器通信以检索要执行的命令。rdpScanDll 通过三种攻击模式执行,当 Check 模式检查目标列表中的 RDP 连接时,TryBute 模式尝试使用从端点“/RDP/names”和“/RDP/dict”获得的预定用户名和密码列表,然后对选定的目标进行暴力破解。因其包含一组未调用的可执行函数,且不获取用户名列表,导致插件使用空密码和用户名来验证目标列表,所以研究人员认为该模块仍在开发中。TrickBot 的更新机制中,横向移动模块接收最多的更新。TrickBot 的动态的 C2 基础设施,主要位于俄罗斯,并且每月会增加上百个新的 C2 IP 地址,平均使用时间为 16 天。 |
新闻链接 |
https://labs.bitdefender.com/2020/03/new-trickbot-module-bruteforces-rdp-connections-targets-select-telecommunication-services-in-us-and-hong-kong/ |