网络安全研究人员最近透露了 TrickBot 恶意软件试图卷土重来。总部位于俄罗斯的跨国网络犯罪组织正在幕后积极扩张,以应对执法部门最近的打击,TrickBot 正试图改造其攻击基础设施。
“发现的新模块用于监控和收集受害者的信息,并使用定制的通信协议隐藏 C&C 服务器与受害者之间的数据传输。这使得攻击难以被发现”,Bitdefender 最近披露了 TrickBot 的最新发展表明,该组织的运营战略变得更加复杂。
TrickBot 没有退出的迹象
TrickBot 背后的网络犯罪团伙被称为 Wizard Spider,敏感信息经常被盗,感染面通过横向平移扩大,甚至成为其他恶意软件“前哨”。TrickBot 多年来不断更新模块功能,提高感染率,保持较高的传播效率。
TrickBot 已发展到使用复杂基础设施的程度,该组织经常入侵第三方服务器,并将其作为恶意软件的部署点。Black Lotus Labs 去年 10 月披露 TrickBot 还有消费级设备,如感染路由器,攻击者将继续轮换 IP 地址和感染主机应尽可能维持犯罪活动。
TrickBot 僵尸网络经历了微软和美国网络总部的两次根除行动,但尚未完全消除。发现攻击者仍在开发新的固件攻击模块,攻击者可以在 UEFI 固件级植入后门,避免检测并长期停留。
更新模块
根据 Bitdefender 的说法,TrickBot 正在积极开发一个名称 vncDll该模块用于监控和收集所选目标。该模块的新版本已被命名为 tvncDll。
新模块旨在定义九个 C&C 通信服务器中的任何一个,检索一组攻击命令,下载更多恶意软件,或将从机器收集的数据传回 C&C 服务器。此外,研究人员表示,他们确定了一个名字“viewer tool”攻击者使用恶意软件 C&C 服务器与受害者互动。
虽然压制组织活动的努力可能没有完全成功,但微软表示,它正在与互联网服务提供商合作(ISP)在巴西和拉丁美洲建立更广泛的合作,挨家挨户更换Trickbot 攻击路由器。通过这种方法, Trickbot 在阿富汗的基础设施。
参考来源:TheHackerNews