Các nhà nghiên cứu an ninh mạng đã mở nắp về sự trỗi dậy tiếp tục của những kẻ quỷ quyệt Phần mềm độc hại TrickBot, làm rõ rằng nhóm tội phạm mạng xuyên quốc gia có trụ sở tại Nga đang làm việc đằng sau hậu trường để cải tạo cơ sở hạ tầng tấn công nhằm đáp lại những nỗ lực chống trả gần đây của cơ quan thực thi pháp luật.
“Các khả năng mới được phát hiện được sử dụng để theo dõi và thu thập thông tin tình báo về nạn nhân, sử dụng một giao thức liên lạc tùy chỉnh để ẩn việc truyền dữ liệu giữa [command-and-control] máy chủ và nạn nhân – khiến các cuộc tấn công khó phát hiện, “Bitdefender nói trong một bài viết về kỹ thuật được xuất bản hôm thứ Hai, cho thấy sự gia tăng độ tinh vi trong các chiến thuật của nhóm.
“Trickbot không có dấu hiệu chậm lại”, các nhà nghiên cứu lưu ý.
Botnet được hình thành khi hàng trăm hoặc hàng nghìn thiết bị bị tấn công được đưa vào mạng do các nhà khai thác tội phạm điều hành, sau đó chúng thường được sử dụng để khởi động các cuộc tấn công từ chối mạng nhằm tấn công các doanh nghiệp và cơ sở hạ tầng quan trọng bằng lưu lượng truy cập không có thật với mục đích đánh bật chúng ngoại tuyến. Nhưng với việc kiểm soát các thiết bị này, những kẻ độc hại cũng có thể sử dụng mạng botnet để phát tán phần mềm độc hại và thư rác hoặc triển khai ransomware mã hóa tệp trên các máy tính bị nhiễm.
TrickBot không có gì khác biệt. Băng nhóm tội phạm mạng khét tiếng đứng sau hoạt động – được mệnh danh là Nhện phù thủy – có hồ sơ theo dõi về việc khai thác các máy bị nhiễm để lấy cắp thông tin nhạy cảm, xoay vòng ngang qua mạng và thậm chí trở thành trình tải cho các phần mềm độc hại khác, chẳng hạn như ransomware, đồng thời liên tục cải thiện chuỗi lây nhiễm của họ bằng cách thêm các mô-đun với chức năng mới để tăng hiệu quả của nó.
“TrickBot đã phát triển để sử dụng một cơ sở hạ tầng phức tạp làm tổn hại đến các máy chủ của bên thứ ba và sử dụng chúng để lưu trữ phần mềm độc hại”, Lumen’s Black Lotus Labs tiết lộ tháng 10 năm ngoái. “Nó cũng lây nhiễm sang các thiết bị tiêu dùng như bộ định tuyến DSL, và các nhà điều hành tội phạm của nó liên tục xoay địa chỉ IP và các máy chủ bị nhiễm để khiến việc phá án của chúng càng khó khăn càng tốt.”
Mạng botnet kể từ đó đã tồn tại hai lần gỡ xuống bởi Microsoft và Bộ Chỉ huy Không gian mạng Hoa Kỳ, với các nhà điều hành phát triển các thành phần vi phạm chương trình cơ sở có thể cho phép tin tặc trồng một cửa sau trong Giao diện chương trình cơ sở mở rộng hợp nhất (UEFI), cho phép nó tránh bị phát hiện chống vi-rút, cập nhật phần mềm hoặc thậm chí xóa toàn bộ và cài đặt lại hệ điều hành của máy tính.
Theo Bitdefender, tác nhân đe dọa đã được phát hiện đang tích cực phát triển phiên bản cập nhật của một mô-đun có tên “vncDll” mà nó sử dụng để chống lại các mục tiêu cao cấp để theo dõi và thu thập thông tin tình báo. Phiên bản mới đã được đặt tên là “tvncDll.”
Mô-đun mới được thiết kế để giao tiếp với một trong chín máy chủ điều khiển và kiểm soát (C2) được xác định trong tệp cấu hình của nó, sử dụng mô-đun này để truy xuất một tập hợp các lệnh tấn công, tải xuống nhiều phần mềm độc hại hơn và exfiltrate được thu thập từ máy trở lại máy chủ. Ngoài ra, các nhà nghiên cứu cho biết họ đã xác định được một “công cụ xem”, mà những kẻ tấn công sử dụng để tương tác với các nạn nhân thông qua các máy chủ C2.
Trong khi những nỗ lực để ngăn chặn các hoạt động của băng đảng có thể không hoàn toàn thành công, Microsoft kể lại The Daily Beast rằng họ đã làm việc với các nhà cung cấp dịch vụ internet (ISP) để thay thế từng bộ định tuyến bị xâm nhập bởi phần mềm độc hại Trickbot ở Brazil và Mỹ Latinh, và nó đã rút phích cắm hiệu quả trên cơ sở hạ tầng Trickbot ở Afghanistan.
