Anker
Finanziell motivierte Bedrohungsakteure experimentieren weiterhin mit neuen Malware-Familien, die häufig in Kombination mit bekannten Trojanern wie TrickBot verwendet werden. Der TrickBot-Banking-Trojaner gilt als eine der aktivsten Cyber-Bedrohungen des Jahres 2019 und wurde kürzlich bei Angriffen auf POS-Geräte verschiedener Anbieter auf der ganzen Welt eingesetzt. Das Besondere an dieser kürzlich durchgeführten Kampagne ist die Verwendung einer Malware-Familie, die zuvor noch nicht gesehen wurde. Die Bedrohung fungiert als Backdoor-Trojaner und nutzt das DNS-Protokoll, um mit dem Command and Control-Server zu kommunizieren. Der Bedrohung wurde der Name Anchor gegeben, und eine genauere Untersuchung des Quellcodes ergab, dass sie in den letzten 12 Monaten bei anderen Angriffen eingesetzt wurde.
Die Anker-Backdoor ist auf das DNS-Protokoll angewiesen, um Befehle zu empfangen
Die Anchor-Hintertür ist in Bezug auf die Funktionen, die sie sicher unterstützt, nicht besonders - sie bietet ihren Betreibern die grundlegenden Fähigkeiten, Remote-Befehle auszuführen sowie Dateien von einer URL abzurufen und sie auf dem gefährdeten Host auszuführen. Eine Sache an der Anchor-Backdoor macht sie jedoch besser als ähnliche Bedrohungen: Sie ruft mithilfe des DNS-Protokolls Befehle vom Steuerungsserver ab. Dies ist einer der Hauptgründe, warum die Anchor-Backdoor so lange unentdeckt blieb. Die DNS-Kommunikation wird selten von Firewall-Lösungen und Antivirenprodukten gefiltert, da dies häufig die Verbindungen beeinträchtigen kann, die von legitimer Software verwendet werden. Durch die ausschließliche Verwendung des DNS-Protokolls kann die Anchor-Backdoor funktionieren, ohne dass lauter Netzwerkverkehr entsteht, der von automatisierten Tools leicht erkannt werden kann.
Einer der wahrscheinlichen Verdächtigen hinter der neuesten Trojan.TrickBot and Anchor-Kampagne ist FIN6, ein finanziell motivierter Bedrohungsakteur, der regelmäßig weltweit an Angriffen auf POS-Geräte beteiligt ist.
Finanziell motivierte Bedrohungsakteure betrügen jedes Jahr weiterhin Unternehmen in zweistelliger Millionenhöhe. FIN6 ist eine der berüchtigtsten Cyberkriminalitätsgruppen, aber es gibt viele andere, die auf die Chance warten, das Geld von Unternehmen auf der ganzen Welt zu stehlen. Es ist wichtig, Ihr Unternehmensnetzwerk durch den Einsatz aktueller und seriöser Computersicherheit zu schützen Produkte.
