TrickBot olarak bilinen modüler Windows suç yazılımı platformu, son yıllardaki en kalıcı kötü amaçlı yazılım kampanyalarından birine son vererek, neredeyse iki aydır faaliyetinin durması nedeniyle yakında emekli olacağına dair raporların ortaya çıkmasından sonra Perşembe günü altyapısını resmen kapattı.
AdvIntel’in CEO’su Vitali Kremez, “TrickBot gitti… 24 Şubat 2022 Perşembe günü itibariyle resmiyet kazandı. Yakında görüşürüz… ya da değil,” tweetlendi. “TrickBot, hedeflenen izinsiz girişler için verimsiz hale geldiğinden gitti.”
adlı Rusya merkezli bir suç örgütüne atfedildi. Büyücü ÖrümcekTrickBot 2016’nın sonlarında finansal bir truva atı olarak başladı ve adı verilen başka bir bankacılık kötü amaçlı yazılımının bir türevidir. boya Bu, Kasım 2015’te kaldırıldı. Yıllar içinde, kötü niyetli yeteneklere sahip gerçek bir İsviçre Ordusu bıçağına dönüştü ve tehdit aktörlerinin web enjeksiyonları yoluyla bilgi çalmasına ve ek yükleri düşürmesine olanak sağladı.
Ekim 2020’de ABD Siber Komutanlığı ve Microsoft liderliğindeki özel güvenlik şirketlerinden oluşan bir konsorsiyum, kötü amaçlı yazılımın yazarlarını ölçeklendirmeye ve taktiklerini geliştirmeye zorlayarak altyapının çoğunu bozmaya çalıştığında, TrickBot’un faaliyetleri gözle görülür bir darbe aldı.
Güvenlik firması Hold Security’nin bir basın toplantısında, suç kuruluşunun altyapısına ve büyümesine 20 milyon dolardan fazla yatırım yaptığı söyleniyor. KABLOLU raporu bu ayın başlarında, günlük operasyonlarını yürütmek ve gruba yeni mühendisleri “işe almak” için TrickBot’un “iş benzeri yapısını” çağırdı.
Gelişme, siber güvenlik firmalarından ikiz raporlar olarak geliyor AdvIntel ve Intel 471, TrickBot’un beş yıllık destanının, kötü amaçlı yazılım operasyonlarına yönelik artan görünürlüğün ardından sona erebileceği olasılığını ima etti ve operatörlerin BazarBackdoor (diğer adıyla BazarLoader) gibi daha yeni, geliştirilmiş kötü amaçlı yazılımlara geçmesini sağladı.
Intel 471 araştırmacıları, “Sonuçta TrickBot, büyük ölçüde güncellenmemiş nispeten eski bir kötü amaçlı yazılımdır” dedi. “Algılama oranları yüksektir ve bot iletişiminden gelen ağ trafiği kolayca tanınır.”
Gerçekten de, kötü amaçlı yazılım izleme araştırma projesi Abuse.ch’in Feodo Tracker’ı, yeni komuta ve kontrol (C2) sunucularının kurulmadığını gösteriyor. hile botu 16 Aralık 2021’den bu yana saldırılar, BazarLoader ve ifade Sırasıyla 19 ve 24 Şubat’ta kaydedilen yeni C2 sunucularıyla tüm hızıyla devam ediyor.
İlk olarak 2021’de ortaya çıkan BazarBackdoor, TrickBot’un modüler araç kiti cephaneliğinin bir parçası olarak ortaya çıktı, ancak o zamandan beri esas olarak Conti (önceden Ryuk) siber suç çetesi tarafından kurumsal ağlarda fidye yazılımı dağıtmak için kullanılan tamamen özerk bir kötü amaçlı yazılıma dönüştü.
TrickBot’un ölümü, Conti fidye yazılımı operatörlerinin BazarBackdoor gibi daha gizli kötü amaçlı yazılımlara odaklanmak için eskisinden en iyi yetenekleri işe almasıyla geldi. Intel 471 Hacker News’e verdiği demeçte, “TrickBot bir süredir Conti ile bağlantılı, bu nedenle daha fazla sinerji olması son derece mümkün,” dedi.
Conti ayrıca, Kasım 2021’den itibaren Emotet botnet’i çok yönlü saldırı çerçevesine yeniden diriltmek ve entegre etmekle de tanınır; ironik bir şekilde, 10 aylık bir aradan sonra kötü amaçlı yazılımı dağıtmak için bir dağıtım aracı olarak kullanılan TrickBot ile.
AdvIntel geçen hafta, “Ancak, TrickBot’u uzun vadede yöneten insanlar öylece ortadan kaybolmayacaklar,” dedi. “Conti tarafından ‘kazanıldıktan’ sonra, şimdi altlarında güvenli bir zemin olması nedeniyle umutlar açısından zenginler ve Conti her zaman mevcut yetenekten yararlanmanın bir yolunu bulacaktır.”