TrickBot, когда-то один из самых активных ботнетов в Интернете и основное средство доставки программ-вымогателей, больше не приносит новых жертв. Однако есть признаки того, что его операторы переводят уже зараженные компьютеры на другие ботнеты, включая Emotet.
«Наша команда с высокой уверенностью оценивает, что операторы Trickbot тесно сотрудничают с операторами Emotet», — говорится в новом отчете исследователей из охранной фирмы Intel 471. «Есть явные доказательства этой связи, например, возрождение Emotet началось с Trickbot».
TrickBot и Emotet давно дружат
TrickBot и Emotet — это две троянские программы, которые начинались как вредоносные инструменты, предназначенные для кражи учетных данных онлайн-банкинга, но превратились в платформы для распространения вредоносных программ, где они сдавали доступ к системам другим киберпреступным группировкам. Исследователи безопасности давно подозревали, что группа, стоящая за TrickBot, была одним из крупнейших клиентов Emotet, и два ботнета регулярно распространяли друг друга на зараженных компьютерах. Кроме того, TrickBot служил одним из основных векторов заражения для программы-вымогателя Ryuk.
В октябре 2020 года TrickBot стал объектом скоординированных действий Microsoft, других отраслевых партнеров и интернет-провайдеров, что привело к нарушению работы всех его серверов управления и контроля. Однако его создатели начали новые спам-кампании, чтобы восстановить контроль над зараженными компьютерами, и постепенно начали восстанавливать ботнет.
За этим в январе 2021 года последовал демонтаж инфраструктуры управления и контроля Emotet правоохранительными органами Европы. Однако, как и TrickBot, Emotet тоже начал восстанавливаться, и основной причиной этого был сам TrickBot. «14 ноября 2021 года мы наблюдали, как Trickbot отправляет своим ботам команду на загрузку и выполнение образцов Emotet», — сказали исследователи Intel 471. «Это положило начало возвращению Emotet».
Нет новых кампаний TrickBot
Исследователи могут легко отслеживать новые образцы TrickBot, поскольку они содержат уникальные идентификационные коды, называемые gtags, которые операторы используют для определения успеха каждой кампании по распространению. Эти gtags состоят из трех букв и трех цифр, известных как вложенные теги.
По данным Intel 471, в ноябре было восемь разных сборок TrickBot с gtag lipXXX и восемь с topXXX. Последние сборки с этими gtags были выпущены в середине-конце декабря, и с тех пор не было ни новых сборок, ни новых gtags. Кроме того, файл конфигурации вредоносного ПО mcconf, содержащий список серверов управления и контроля, не обновлялся с начала декабря, хотя раньше он получал регулярные обновления.
Столь значительное снижение числа новых кампаний по распространению говорит о том, что операторы TrickBot не заинтересованы в заражении новых систем. Существующие компьютеры, составляющие ботнет, по-прежнему получают команды и сценарии внедрения с серверов управления, но это может быть частично связано с автоматизацией.
Что случилось с ТрикБотом?
В октябре Министерство юстиции объявило об экстрадиции гражданина России после его ареста в Южной Корее для предъявления обвинений, связанных с разработкой TrickBot, но неясно, привело ли это напрямую к снижению активности TrickBot, учитывая, что его операторы запустили новые сборки. и кампании в ноябре и декабре.
Исследователи Intel 471 считают более вероятным, что операторы TrickBot начали переходить на другие трояны, чтобы продолжить свою деятельность. «Intel 471 не может подтвердить, но вполне вероятно, что операторы Trickbot постепенно отказались от вредоносного ПО Trickbot в пользу других платформ, таких как Emotet», — сказали они. «В конце концов, Trickbot — это относительно старое вредоносное ПО, которое не подвергалось существенным обновлениям. Уровень обнаружения высок, а сетевой трафик от ботов легко распознается».
В июле 2020 года исследователи из Cybereason сообщили, что группа TrickBot разработала программу-загрузчик и бэкдор под названием Bazar, которая разделяет некоторые методы и инфраструктуру с TrickBot, но является более незаметной и использует DNS-домены блокчейна, что делает ее более устойчивой к попыткам удаления.
С тех пор загрузчик Bazar использовался несколькими группами киберпреступников против важных целей для развертывания сред атаки, таких как CobaltStrike и IcedID или Bokbot, внутри сетевых сред. Серверы управления и контроля Bazar также были замечены в распространении TrickBot и Emotet в прошлом году, что подтверждает идею о том, что все три связаны между собой.
«Возможно, сочетание нежелательного внимания к Trickbot и доступности более новых, улучшенных платформ вредоносных программ убедило операторов Trickbot отказаться от него», — говорят исследователи. «Мы подозреваем, что инфраструктура контроля вредоносных программ (C2) поддерживается, потому что в оставшихся ботах все еще есть некоторая ценность для монетизации».
Авторское право © 2022 IDG Communications, Inc.
https://cyberxhack.org/