После заражения системы операторы TrickBot продают доступ к ней участникам FIN6.

Исследователи из IBM X-Force обнаружили следы киберпреступной группировки FIN6 в недавней кампании по распространению вредоносного ПО Anchor с помощью трояна TrickBot. Это может указывать на то, что FIN6 и операторы TrickBot объединили свои усилия в атаках на ряд организаций.

Группировка FIN6 (другое название ITG08) специализируется на похищении данных через PoS-терминалы и сайты электронной коммерции в США и Европе. В свою очередь, TrickBot начинал как банковский троян, но со временем обзавелся и другими функциями, в том числе функцией похищения учетных данных из электронной почты, браузеров и приложений.

Фреймворк Anchor известен как минимум с 2018 года, а его создателями предположительно являются разработчики TrickBot. Anchor распространяется в виде модуля TrickBot, состоит из множества подмодулей и представляет собой инструмент для атак «все-в-одном». Как ранее сообщал SecurityLab, фреймворком также пользовалась APT-группа Lazarus, предположительно связанная с правительством КНДР.

За последние шесть месяцев исследователи зафиксировали волну атак с использованием Anchor и PowerTrick – еще одного модуля TrickBot. Названия жертв IBM X-Force не раскрывает, однако сообщает, что в основном пострадали корпоративные сети, в частности PoS-терминалы.

Основной способ распространения вредоноса – спам-письма. По словам исследователей, после заражения системы операторы TrickBot продают доступ к ней участникам FIN6, которые затем с помощью Anchor и PowerTrick проникают глубже в атакуемые сети. Количество пострадавших организаций пока неизвестно.

Источник: securitylab.