ANNONCE

PRM / Nyt Trickbot-modul angriber teleindustrien i USA og Hong Kong

18. marts 2020 10:00 | Af: Ritzau Info
 

Eksperter hos Bitdefender har opdaget et nyt modul i den trojanske hest, Trickbot, der anvender brute force-angreb mod Windows fjernforbindelse. Den nye udgave af Trickbot er blevet brugt til målrettede angreb på virksomheder indenfor teleindustrien i USA og Hong Kong.

Pressemeddelelse fra Bitdefender

Den 30. januar blev eksperter hos cybersikkerhedsfirmaet Bitdefender opmærksomme på et nyt modul i Trickbot, en trojansk hest der har eksisteret siden 2016. Modulet, kaldet rdpScanll, igangsætter brute force-angreb med det formål, at få adgang til en Windows-enhed gennem fjernforbindelsen. Dvs. at Trickbot indtaster en lang række adgangskoder for at logge på enhedens fjernforbindelse, i håbet om at én af dem er korrekte.

Hvad er Trickbot?

Trickbot er ikke blot en enkel trojansk hest, men en skræddersyet pakke af ondsindet software. Den en form for ramme for forskellige typer malware, der, når den først får inficeret en enhed, downloader og udfører de specifikke angreb, som hackerne har designet den til.

Tidligere har Trickbot været brugt til angreb med spyware og ransomware. Den har også været brugt til at implementere bagdøre og sprede sig selv, ved at inficere email-konti, hvorfra den vha. spam-kampagner har sendt sig selv videre til nye ofre.

Det nye Trickbot-modul er derfor blot det seneste i en lang række af værktøjer, som hackerne ynder at bruge.

Angreb rettet mod USA og Hong Kong

Bogdan Botezatu, ekspert hos Bitdefender, fortæller, at det nye Trickbot-modul især er blevet brugt imod virksomheder i USA og Hong Kong: “I vores analyse af rdpScandll-modulet, har vi opsnappet mere end 5.000 IP-adresser som det nye modul er blevet bedt om at angribe. Langt størstedelen af de adresser findes i USA og Hong Kong.

Vi har undersøgt adresserne og fundet ud af, at næsten halvdelen af dem tilhører virksomheder i teleindustrien, mens der samtidig har været et kraftigt fokus på uddannelses-, forsknings- og finanssektoren.”

Modulet er stadig under udvikling

Som det ser ud nu, så arbejder hackerne stadig på modulet, fortæller Botezatu: “rpdScanDll lader til stadig at være under udvikling, da vi kan se, at en del af modulet ikke fungerer. Vi forventer helt klart, at bagmændene i fremtiden vil rette fejlen. Derudover kan vi se, at de command & control-servere som bliver brugt til at opdatere modulet, i de fleste tilfælde befinder sig i Rusland.”

Kontakt:

Thomas Endelt, konsulent, Frontpage
M: thomas.endelt@frontpage.dk
T: 50 70 53 34

Læs hele pressemeddelelsen på Via Ritzau her: https://via.ritzau.dk/pressemeddelelse/nyt-trickbot-modul-angriber-teleindustrien-i-usa-og-hong-kong?releaseId=13590140

** Ovenstående pressemeddelelse er videreformidlet af Ritzau på vegne af tredjepart. Ritzau er derfor ikke ansvarlig for indholdet **

ANNONCE

ANNONCE
Del din kommentar
Forsiden lige nu