?[[411845]]?

網(wǎng)絡安全研究人員近日揭露了 TrickBot 惡意軟件想要卷土重來的意圖，這個運作總部位于俄羅斯的跨國網(wǎng)絡犯罪組織正在幕后積極擴張，以應對執(zhí)法部門最近對它們的打擊行動，TrickBot 正在嘗試改造其攻擊基礎設施。

“此次發(fā)現(xiàn)的新模塊用于監(jiān)控和收集受害者的信息，使用自定義的通信協(xié)議來隱藏 C&C 服務器和受害者之間的數(shù)據(jù)傳輸。這就使得攻擊難以被發(fā)現(xiàn)”，Bitdefender 近期披露了 TrickBot 的最新動態(tài)，這表明該組織的運營策略變得更加復雜。

TrickBot 沒有要退出的跡象

TrickBot 背后的網(wǎng)絡犯罪團伙被稱為 Wizard Spider，經(jīng)常從失陷主機竊取敏感信息、通過橫向平移擴大感染面，甚至成為其他惡意軟件的“前哨”。TrickBot 多年來一直不斷更新模塊功能以提高感染率，維持了較高的傳播有效性。

TrickBot 已經(jīng)演變到使用復雜基礎設施的程度，該組織經(jīng)常會入侵第三方服務器并將其作為惡意軟件的部署點。Black Lotus Labs 在去年 10 月披露 TrickBot 還有感染路由器等消費級設備，攻擊者會不斷輪換 IP 地址和受感染的主機，盡可能地維持犯罪活動的運行。

TrickBot 僵尸網(wǎng)絡經(jīng)歷了微軟和美國網(wǎng)絡司令部的兩次鏟除行動，仍然沒有被徹底消滅。之前發(fā)現(xiàn)攻擊者仍然在開發(fā)針對固件發(fā)起攻擊的新模塊，攻擊者可以在 UEFI 固件級植入后門，逃避檢測并持久駐留。

更新模塊

根據(jù) Bitdefender 的說法，TrickBot 正在積極開發(fā)一個名為 vncDll的模塊，該模塊用于針對選定的目標進行監(jiān)控和情報收集。該模塊的新版本已被命名為 tvncDll。

新模塊旨在與其配置文件中定義的九個 C&C 服務器中的任意一個進行通信，檢索一組要執(zhí)行的攻擊命令、下載更多惡意軟件或者將從機器收集的數(shù)據(jù)傳回 C&C 服務器。此外，研究人員表示，他們確定了一個名為“viewer tool”的惡意軟件，攻擊者使用它通過 C&C 服務器與受害者進行交互。

雖然壓制該組織活動的努力可能并沒有完全成功，但微軟表示它正在與互聯(lián)網(wǎng)服務提供商(ISP)建立更廣泛合作，在巴西和拉丁美洲挨家挨戶更換受到 Trickbot 攻擊的路由器。通過這種方法，之前已經(jīng)有效地鏟除了 Trickbot 在阿富汗的基礎設施。

參考來源：??TheHackerNews??