监视追踪”受害者“,Trickbot恶意软件带着新的VNC模块卷土重来 – 作者:中科天齐软件安全中心

网络安全研究人员揭开了阴险的Trickbot 恶意软件持续死灰复燃的谜底,明确表示这家跨国网络犯罪组织正在幕后工作,改进其攻击基础设施,以应对最近执法部门的反击行动。

“新发现的功能用于监视和收集受害者的情报,使用自定义通信协议来隐藏 [命令和控制] 服务器和受害者之间的数据传输——这使得攻击难以被发现,同时表明该组织的策略更加复杂。

“Trickbot 没有表现出放缓的迹象,”研究人员指出。

最普遍的威胁

Trickbot 已经存在了将近五年,并从银行木马转变为当今最大的僵尸网络之一,向各种威胁参与者出售访问权限。

一些使用此僵尸网络进行网络访问的勒索软件操作包括臭名昭著的 Ryuk、Conti、REvil,以及一种名为Diavol的新病毒。

自从Emotet被执法部门取缔后,Trickbot 的活动非常活跃,以至于它在5月份成为网络安全公司雷达检测上最流行的恶意软件。同时发现Trickbot的维护人员正在不断努力改进它。

新的VNC模块正在开发中

僵尸网络是在成百上千的被黑设备加入犯罪运营商运营的网络时形成的,这些设备通常被用来发起网络拒绝攻击,以虚假流量打击企业和关键基础设施,目的是使它们脱机。但通过控制这些设备,恶意行为者还可以使用僵尸网络传播恶意软件和垃圾邮件,或在受感染的计算机上部署文件加密勒索软件。

Trickbot 也不例外。该行动背后臭名昭著的网络犯罪团伙被称为Wizard Spider,有利用受感染机器窃取敏感信息、在网络中横向移动,甚至成为其他恶意软件(例如勒索软件)的加载程序的记录,同时不断提高它们的感染率并通过添加具有新功能的模块来提高其有效性。

图片[1]-监视追踪”受害者“,Trickbot恶意软件带着新的VNC模块卷土重来 – 作者:中科天齐软件安全中心-安全小百科

“TrickBot 已经发展到使用复杂的基础设施来破坏第三方服务器并使用它们来托管恶意软件,它还会感染DSL路由器等消费设备,其犯罪运营商不断轮换他们的IP地址和受感染的主机,使他们的犯罪活动尽可能难以中断。”网络安全研究人员表示。

此僵尸网络在微软和美国网络司令部的两次移除攻击中幸存下来,运营商开发的固件干预组件可以让黑客在统一可扩展固件接口 (UEFI) 中植入后门,使其能够逃避杀毒检测、软件更新,甚至完全擦除并重新安装计算机的操作系统。此时,软件系统自身的防御能力就弥足重要,建议企业在开发软件初期就采取措施,利用静态代码检测等工具查找代码中的缺陷和问题,以减少系统安全漏洞。

现在,根据网络安全人员的说法,现在已经发现威胁者正在积极开发一个名为“vncDll”模块的升级版本,该模块用于针对瞄定的目标进行监控和情报收集,并将新版本命名为“tvncDll”。

新模块旨在与其配置文件中定义的九个命令和控制 (C2) 服务器中的一个进行通信,使用它来检索一组攻击命令、下载更多恶意软件负载,并将从机器收集的被泄露数据传回服务器。此外,研究人员表示,他们发现了一个“查看器工具”,攻击者利用它通过C2服务器与受害者进行交互。

尽管打击该团伙的行动可能并不完全成功,但微软告诉记者,正与互联网服务提供商 (ISP) 合作,在巴西和拉丁美洲挨家挨户更换受Trickbot恶意软件攻击的路由器,并且有效切断了阿富汗 Trickbot 基础设施的供应。

此前,在活跃又危险的恶意软件之一 :Trickbot主要“作战”手段有哪些?中讲述了恶意软件Trickbot的作战手段和分发方式,Trickbot攻击方式更新快分布广泛,甚至成为多产和受欢迎的僵尸网络之一,在全球被检测到超过一百万次,严重威胁着数据安全。并且,随着犯罪团伙的技术手段也在提升,恶意软件可以轻松绕过杀毒软件及防御设备,直接对系统及数据发起攻击。网络犯罪分子日益嚣张的今天,企业在做网络安全防护时,除了加强外在防御手段,也要提升内在软件抵抗攻击能力,即软件安全。通过代码安全检测及动态应用安全测试等可以确保软件自身安全,减少系统中的安全漏洞,避免遭到网络攻击。

参读链接:

https://www.woocoom.com/b021.html?id=635510ae90f845a78bffaa702f50fab0

https://thehackernews.com/2021/07/trickbot-malware-returns-with-new-vnc.html

https://www.bleepingcomputer.com/news/security/trickbot-updates-its-vnc-module-for-high-value-targets/

来源:freebuf.com 2021-07-15 09:45:53 by: 中科天齐软件安全中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论