?[[411845]]?

網(wǎng)絡(luò)安全研究人員近日揭露了 TrickBot 惡意軟件想要卷土重來的意圖，這個運(yùn)作總部位于俄羅斯的跨國網(wǎng)絡(luò)犯罪組織正在幕后積極擴(kuò)張，以應(yīng)對執(zhí)法部門最近對它們的打擊行動，TrickBot 正在嘗試改造其攻擊基礎(chǔ)設(shè)施。

“此次發(fā)現(xiàn)的新模塊用于監(jiān)控和收集受害者的信息，使用自定義的通信協(xié)議來隱藏 C&C 服務(wù)器和受害者之間的數(shù)據(jù)傳輸。這就使得攻擊難以被發(fā)現(xiàn)”，Bitdefender 近期披露了 TrickBot 的最新動態(tài)，這表明該組織的運(yùn)營策略變得更加復(fù)雜。

TrickBot 沒有要退出的跡象

TrickBot 背后的網(wǎng)絡(luò)犯罪團(tuán)伙被稱為 Wizard Spider，經(jīng)常從失陷主機(jī)竊取敏感信息、通過橫向平移擴(kuò)大感染面，甚至成為其他惡意軟件的“前哨”。TrickBot 多年來一直不斷更新模塊功能以提高感染率，維持了較高的傳播有效性。

TrickBot 已經(jīng)演變到使用復(fù)雜基礎(chǔ)設(shè)施的程度，該組織經(jīng)常會入侵第三方服務(wù)器并將其作為惡意軟件的部署點(diǎn)。Black Lotus Labs 在去年 10 月披露 TrickBot 還有感染路由器等消費(fèi)級設(shè)備，攻擊者會不斷輪換 IP 地址和受感染的主機(jī)，盡可能地維持犯罪活動的運(yùn)行。

TrickBot 僵尸網(wǎng)絡(luò)經(jīng)歷了微軟和美國網(wǎng)絡(luò)司令部的兩次鏟除行動，仍然沒有被徹底消滅。之前發(fā)現(xiàn)攻擊者仍然在開發(fā)針對固件發(fā)起攻擊的新模塊，攻擊者可以在 UEFI 固件級植入后門，逃避檢測并持久駐留。

更新模塊

根據(jù) Bitdefender 的說法，TrickBot 正在積極開發(fā)一個名為 vncDll的模塊，該模塊用于針對選定的目標(biāo)進(jìn)行監(jiān)控和情報收集。該模塊的新版本已被命名為 tvncDll。

新模塊旨在與其配置文件中定義的九個 C&C 服務(wù)器中的任意一個進(jìn)行通信，檢索一組要執(zhí)行的攻擊命令、下載更多惡意軟件或者將從機(jī)器收集的數(shù)據(jù)傳回 C&C 服務(wù)器。此外，研究人員表示，他們確定了一個名為“viewer tool”的惡意軟件，攻擊者使用它通過 C&C 服務(wù)器與受害者進(jìn)行交互。

雖然壓制該組織活動的努力可能并沒有完全成功，但微軟表示它正在與互聯(lián)網(wǎng)服務(wù)提供商(ISP)建立更廣泛合作，在巴西和拉丁美洲挨家挨戶更換受到 Trickbot 攻擊的路由器。通過這種方法，之前已經(jīng)有效地鏟除了 Trickbot 在阿富汗的基礎(chǔ)設(shè)施。

參考來源：??TheHackerNews??