QQ图片20220225111432

TrickBot 团伙转移阵地,Emotet 成新选择

  • 浏览次数 43958
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

TrickBot Malware Campaign

TrickBot 是一个臭名昭著的“ Windows 犯罪软件即服务”(Windows crimeware-as-a-service,简称 caa)解决方案,被各种黑客用来提供下一阶段的有效载荷,比如勒索软件。TrickBot似乎正在做出转变,自今年年初以来没有新的活动记录。

Intel 471的研究人员在与The Hacker News分享的一份报告中说,恶意软件活动的暂停“部分是由于 Trickbot 运营商的重大转变,变化包括与 Emotet 运营商的合作”。

最近一次涉及 TrickBot 的攻击发生在2021年12月28日,但与该恶意软件相关的命令与控制(C2)基础设施一直在为僵尸网络中受感染的节点提供额外的插件和网络注入。

有趣的是,TrickBot 团伙活动量的减少也伴随着与 Emotet 操作者密切的合作 ,在执法部门解决恶意软件10个月之后,Emotet 在去年年底死灰复燃。

2021年11月首次观察到的攻击包含一个感染序列,使用 TrickBot 作为下载和执行 Emotet 二进制文件的渠道,而在攻击之前,Emotet 经常被用来传递 TrickBot 的样本。

研究人员说: “很有可能,TrickBot 的运营者已经将 TrickBot 的恶意软件从他们的运营中剔除,转而使用其他平台,比如 Emotet。”“毕竟,TrickBot 是一个相对老旧的恶意软件,还没有进行过大规模的更新。”

此外,Intel 471表示,它观察到 TrickBot 在2021年11月 Emotet 回归后不久将 Qbot 安装到被破坏的系统中,这再次暗示了幕后重组正在转移到其他平台。

随着 TrickBot 在2021年越来越多地受到执法者关注,它背后的攻击者正在积极地试图改变战术和更新他们的防御措施。

根据 Advanced Intelligence (AdvIntel)上周发布的另一份报告,Conti 勒索软件团伙据信已经人才并购了 TrickBot 的几名精英开发者,让他们放弃这种恶意软件,转而使用BazarBackdoor 等增强型工具。

研究人员指出: “也许研究员对 TrickBot 的不必要的关注和更新、改进后的恶意软件平台的可用性使得 TrickBot 的操作者放弃了它。”“我们怀疑恶意软件控制基础设施(C2)仍在维护,因为剩下的机器人仍然有一些经济价值。”

消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文