Trickbot 恶意软件带着新的 VNC 模块返回以监视其受害者

网络安全研究人员揭开了阴险的Trickbot 恶意软件的持续卷土重来的盖子，明确表示这家总部位于俄罗斯的跨国网络犯罪组织正在幕后工作，以应对执法部门最近的反击行动，改造其攻击基础设施。

“发现的新功能用于监控和收集受害者的情报，使用自定义通信协议来隐藏 [命令和控制] 服务器和受害者之间的数据传输——这使得攻击难以被发现，”Bitdefender在一篇技术文章中说—— up 周一发布，表明该组织的策略更加复杂。

“Trickbot 没有显示出放缓的迹象，”研究人员指出。

僵尸网络是在成百上千的被黑设备加入犯罪运营商运营的网络时形成的，这些设备通常被用来发起拒绝网络攻击，以虚假流量打击企业和关键基础设施，目的是使它们脱机。但通过控制这些设备，恶意行为者还可以使用僵尸网络传播恶意软件和垃圾邮件，或在受感染的计算机上部署文件加密勒索软件。

Trickbot 也不例外。该行动背后臭名昭著的网络犯罪团伙——被称为Wizard Spider——有利用受感染机器窃取敏感信息、在网络中横向移动，甚至成为其他恶意软件（如勒索软件）的加载程序的记录，同时不断提高它们的感染率通过添加具有新功能的模块来提高其有效性。

“TrickBot 已经发展到使用复杂的基础设施，该基础设施会破坏第三方服务器并使用它们来托管恶意软件，”Lumen 的 Black Lotus Labs去年 10 月透露。“它还会感染 DSL 路由器等消费设备，其犯罪运营商不断轮换他们的 IP 地址和受感染的主机，以尽可能地破坏他们的犯罪活动。”

此僵尸网络在微软和美国网络司令部的两次移除尝试中幸存下来，运营商开发固件干预组件，可能允许黑客在统一可扩展固件接口 (UEFI) 中植入后门，使其能够逃避防病毒检测、软件更新，甚至完全擦除并重新安装计算机的操作系统。

现在，根据 Bitdefender 的说法，已经发现威胁行为者正在积极开发一个名为“vncDll”的模块的更新版本，该模块用于针对选定的高调目标进行监控和情报收集。新版本已命名为“tvncDll”。

新模块旨在与其配置文件中定义的九个命令和控制 (C2) 服务器中的一个进行通信，使用它来检索一组攻击命令、下载更多恶意软件负载，并将从机器收集的数据泄露回服务器。此外，研究人员表示，他们确定了一种“查看器工具”，攻击者可以使用它通过 C2 服务器与受害者进行交互。

那不是全部。Cofense 本周发布的另一份报告发现了僵尸网络针对零售、建筑材料、制造、保险和建筑行业公司的新证据，其中包含以发票为主题的 Word 文档的网络钓鱼电子邮件，以触发“窃取凭据的微调工作流程” .”

虽然压制该团伙活动的努力可能并不完全成功，但微软告诉The Daily Beast，它与互联网服务提供商 (ISP) 合作，在巴西和拉丁美洲挨家挨户更换受 Trickbot 恶意软件感染的路由器，并且它有效地拔掉了阿富汗 Trickbot 基础设施的插头。