Çeşitli tehdit aktörleri tarafından fidye yazılımı gibi sonraki aşama yüklerini sağlamak için kullanılan kötü şöhretli Windows hizmet olarak suç yazılımı (CaaS) çözümü TrickBot, başından beri yeni bir etkinlik kaydedilmeden bir tür geçiş geçiriyor gibi görünüyor. Yılın.
Intel 471 araştırmacıları, kötü amaçlı yazılım kampanyalarındaki durgunluğun “kısmen Emotet operatörleriyle çalışmak da dahil olmak üzere Trickbot operatörlerinden büyük bir değişiklikten kaynaklanıyor”. dedim The Hacker News ile paylaşılan bir raporda.
Kötü amaçlı yazılımla ilişkili komuta ve kontrol (C2) altyapısı botnet’teki virüslü düğümlere ek eklentiler ve web enjeksiyonları sunmaya devam etse bile, TrickBot’u içeren son saldırılar 28 Aralık 2021’de kaydedildi.
İlginç bir şekilde, kampanyaların hacmindeki azalmaya, kolluk kuvvetlerinin kötü amaçlı yazılımla mücadele çabalarını takiben 10 aylık bir aradan sonra geçen yılın sonlarında yeniden canlanan Emotet operatörleriyle yakın çalışan TrickBot çetesi de eşlik etti.
İlk olarak Kasım 2021’de gözlemlenen saldırılar, Emotet ikili dosyalarını indirmek ve yürütmek için bir kanal olarak TrickBot’u kullanan bir bulaşma dizisine sahipti, yayından kaldırmadan önce Emotet genellikle TrickBot örneklerini bırakmak için kullanılıyordu.
Araştırmacılar, “TrickBot operatörlerinin, Emotet gibi diğer platformlar lehine TrickBot kötü amaçlı yazılımını operasyonlarından aşamalı olarak çıkarmış olmaları muhtemeldir” dedi. “Sonuçta TrickBot, büyük ölçüde güncellenmemiş nispeten eski bir kötü amaçlı yazılımdır.”
Ek olarak Intel 471, Emotet’in Kasım 2021’de dönüşünden kısa bir süre sonra, güvenliği ihlal edilmiş sistemlere Qbot yüklemelerini zorlayan TrickBot örneklerini gözlemlediğini ve bir kez daha diğer platformlara geçmek için sahne arkası sallanma olasılığını artırdığını söyledi.
TrickBot’un giderek daha fazla objektifin altına girmesiyle kanun yaptırımı 2021’de, arkasındaki tehdit aktörünün aktif olarak taktik değiştirmeye ve savunma önlemlerini güncellemeye çalışması çok şaşırtıcı değil.
göre ayrı rapor Advanced Intelligence (AdvIntel) tarafından geçen hafta yayınlanan Conti fidye yazılımı kartelinin, kötü amaçlı yazılımı emekli etmek ve BazarBackdoor gibi yükseltilmiş varyantlara geçmek için birkaç seçkin TrickBot geliştiricisini satın aldığına inanılıyor.
Araştırmacılar, “Belki de TrickBot’a istenmeyen ilgi ve daha yeni, geliştirilmiş kötü amaçlı yazılım platformlarının mevcudiyetinin bir kombinasyonu, TrickBot operatörlerini onu terk etmeye ikna etti” dedi. “Geri kalan botlarda hala bir miktar para kazanma değeri olduğu için kötü amaçlı yazılım kontrol altyapısının (C2) sürdürüldüğünden şüpheleniyoruz.”