Die Sicherheitsexperten von SentinelLabs warnen vor einem neuem Hacking-Tool der russischen Crimewave-Organisation TrickBot. Dabei beruft sich das Forschungslabor des Endpoint-Security-Anbieters SentinelOne auf Untersuchungen einer PowerShell-basierten Backdoor namens PowerTrick, die sich durch eine außerordentliche Verschleierung, Hartnäckigkeit und Auskundschaftungsfähigkeiten auszeichnet. Ziel des Tools seien vor allem Ziele wie Banken und Finanzinstitute.

Im Vergleich zu größeren, quelloffenen Systemen, wie etwa PowerShell Empire, ist das PowerTrick-Tool nach Erkenntnissen der Sicherheitsexperten äußerst offensiv und flexibel. Es helfe Angreifern dabei, möglichst lange ungestört agieren und sich spontan ausbreiten zu können. Ferner soll die Backdoor in der Lage sein, effektive Sicherheitskontrollen und Beschränkungen zu umgehen und sich modernen Sicherheitsmaßnahmen erfolgreich anzupassen. Laut SentinelOne bezwingt das Tool auf diese Weise auch bestmöglich abgesicherte und Air-Gap-geschützte Netzwerke.

Dies gelingt TrickBot dadurch, dass es – wie andere Angriffswerkzeuge der TrickBot-Gruppe – nur für gezielte Nachbearbeitungszwecke wie beispielsweise laterale Bewegungen nur für eine kurze Zeitspanne zum Einsatz kommt, so die Sicherheitsforscher. Die SentinelLabs-Experten haben nachgebildete Befehls- und Kontrollfelder entwickelt, die sie auch anderen Institutionen zur Verfügung stellen wollen, damit diese Detection-Tests im Zusammenhang mit PowerTrick durchführen können.

Ausführliche Informationen zu PowerTrick finden Interessierte im SentinelLabs-Blog unter labs.sentinelone.com/top-tier-russian-organized-cybercrime-group-unveils-fileless-stealthy-powertrick-backdoor-for-high-value-targets/.

Timo Scheibe ist Redakteur bei der LANline.