IBM Security X-Force พบเวอร์ชันอัพเกรดของ AnchorDNS Backdoor โดยมีชื่อเรียกว่า AnchorMail

"AnchorMail จะใช้ Command and Control เป็นเซิร์ฟเวอร์อีเมล โดยใช้โปรโตคอล SMTP และ IMAP ผ่าน Protocol TLS" โดย Charlotte Hammond ผู้เชี่ยวชาญการวิเคราะห์มัลแวร์ของ IBM ระบุว่าพฤติกรรมของ AnchorMail จะคล้ายๆกับพฤติกรรมของ AnchorDNS รุ่นก่อน

กลุ่มแฮกเกอร์ที่อยู่เบื้องหลัง TrickBot คือ ITG23 หรือที่รู้จักในชื่อ Wizard Spider โดยค่อนข้างมีชื่อเสียงในด้านการพัฒนา Anchor Backdoor ที่ถูกใช้โจมตีเหยื่อมาตั้งแต่ปี 2018 ด้วยมัลแวร์ TrickBot และ BazarBackdoor ในช่วงหลายปีที่ผ่านมาทางกลุ่มได้ร่วมมือกับกลุ่ม Conti Ransomware ซึ่งทำให้มีการนำ TrickBot และ BazarLoader ไปใช้ร่วมในการโจมตี

Backdoor AnchorDNS ในเวอร์ชันเก่านั้นจะสื่อสารกับเซิร์ฟเวอร์ C2 โดยใช้ DNS Tunneling เพื่อหลีกเลี่ยงการป้องกันของเหยื่อ แต่เวอร์ชันใหม่จะใช้อีเมลที่ได้รับการออกแบบมาเป็นพิเศษ

Charlotte Hammond ได้กล่าวว่า AnchorMail จะใช้โปรโตคอล SMTPS ที่เข้ารหัสเพื่อส่งข้อมูลไปยัง C2 และใช้ IMAPS ในการรับคำสั่ง การทำงานของมัลแวร์จะกำหนดเวลาให้ทำงานทุกๆ 10 นาที ตามด้วยการติดต่อไปยังเซิร์ฟเวอร์ C2 เพื่อดำเนินการรับคำสั่ง ซึ่งรวมถึงการรันไบนารี, DLL และ shell code ผ่าน PowerShell จากนั้นก็จะลบตัวมันเองออกจากระบบ

การค้นพบ Anchor เวอร์ชันใหม่ จะทำให้เกิด Backdoor ใหม่ๆที่ใช้ในการโจมตีด้วย Ransomware เพิ่มมากขึ้น

ในปัจจุบัน AnchorMail ยังพบการโจมตีเฉพาะบน Windows เท่านั้น แต่เนื่องจากพบว่า AnchorDNS ถูกนำไปใช้บน Linux เรียบร้อยแล้ว จึงทำให้ในอนาคตเราอาจพบ AnchorMail เวอร์ชัน Linux เกิดขึ้นได้เช่นกัน

ที่มา : thehackernews