TrickBot 是一个臭名昭著的“ Windows 犯罪软件即服务”(Windows crimeware-as-a-service,简称 caa)解决方案,被各种黑客用来提供下一阶段的有效载荷,比如勒索软件。TrickBot似乎正在做出转变,自今年年初以来没有新的活动记录。
Intel 471的研究人员在与The Hacker News分享的一份报告中说,恶意软件活动的暂停“部分是由于 Trickbot 运营商的重大转变,变化包括与 Emotet 运营商的合作”。
最近一次涉及 TrickBot 的攻击发生在2021年12月28日,但与该恶意软件相关的命令与控制(C2)基础设施一直在为僵尸 *** 中受感染的节点提供额外的插件和 *** 注入。
有趣的是,TrickBot 团伙活动量的减少也伴随着与 Emotet 操作者密切的合作 ,在执法部门解决恶意软件10个月之后,Emotet 在去年年底死灰复燃。
2021年11月首次观察到的攻击包含一个感染序列,使用 TrickBot 作为下载和执行 Emotet 二进制文件的渠道,而在攻击之前,Emotet 经常被用来传递 TrickBot 的样本。
研究人员说: “很有可能,TrickBot 的运营者已经将 TrickBot 的恶意软件从他们的运营中剔除,转而使用其他平台,比如 Emotet。”“毕竟,TrickBot 是一个相对老旧的恶意软件,还没有进行过大规模的更新。”
此外,Intel 471表示,它观察到 TrickBot 在2021年11月 Emotet 回归后不久将 Qbot 安装到被破坏的系统中,这再次暗示了幕后重组正在转移到其他平台。
随着 TrickBot 在2021年越来越多地受到执法者的关注,它背后的攻击者正在积极地试图改变战术和更新他们的防御措施。
根据 Advanced Intelligence (AdvIntel)上周发布的另一份报告,Conti 勒索软件团伙据信已经人才并购了 TrickBot 的几名精英开发者,让他们放弃这种恶意软件,转而使用BazarBackdoor 等增强型工具。
研究人员指出: “也许研究员对 TrickBot 的不必要的关注和更新、改进后的恶意软件平台的可用性使得 TrickBot 的操作者放弃了它。”“我们怀疑恶意软件控制基础设施(C2)仍在维护,因为剩下的机器人仍然有一些经济价值。”
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文