После заражения системы операторы TrickBot продают доступ к ней участникам FIN6.
https://www.securitylab.ru/upload/ib...c95dfa92d2.jpg
Исследователи из IBM X-Force https://securityintelligence.com/pos...hor-framework/следы киберпреступной группировки FIN6 в недавней кампании по распространению вредоносного ПО Anchor с помощью трояна TrickBot. Это может указывать на то, что FIN6 и операторы TrickBot объединили свои усилия в атаках на ряд организаций.
Группировка FIN6 (другое название ITG08) специализируется на похищении данных через PoS-терминалы и сайты электронной коммерции в США и Европе. В свою очередь, TrickBot начинал как банковский троян, но со временем обзавелся и другими функциями, в том числе функцией похищения учетных данных из электронной почты, браузеров и приложений.
Фреймворк Anchor известен как минимум с 2018 года, а его создателями предположительно являются разработчики TrickBot. Anchor распространяется в виде модуля TrickBot, состоит из множества подмодулей и представляет собой инструмент для атак «все-в-одном». Как ранее https://www.securitylab.ru/news/503387.phpSecurityLab, фреймворком также пользовалась APT-группа Lazarus, предположительно связанная с правительством КНДР.
За последние шесть месяцев исследователи зафиксировали волну атак с использованием Anchor и PowerTrick – еще одного модуля TrickBot. Названия жертв IBM X-Force не раскрывает, однако сообщает, что в основном пострадали корпоративные сети, в частности PoS-терминалы.
Основной способ распространения вредоноса – спам-письма. По словам исследователей, после заражения системы операторы TrickBot продают доступ к ней участникам FIN6, которые затем с помощью Anchor и PowerTrick проникают глубже в атакуемые сети. Количество пострадавших организаций пока неизвестно.