TrickBot正部署新的VNC模块监控受害者

[[411845]]

网络安全研究人员近日揭露了 TrickBot 恶意软件想要卷土重来的意图，这个运作总部位于俄罗斯的跨国网络犯罪组织正在幕后积极扩张，以应对执法部门最近对它们的打击行动，TrickBot 正在尝试改造其攻击基础设施。

“此次发现的新模块用于监控和收集受害者的信息，使用自定义的通信协议来隐藏 C&C 服务器和受害者之间的数据传输。这就使得攻击难以被发现”，Bitdefender 近期披露了 TrickBot 的最新动态，这表明该组织的运营策略变得更加复杂。

TrickBot 背后的网络犯罪团伙被称为 Wizard Spider，经常从失陷主机窃取敏感信息、通过横向平移扩大感染面，甚至成为其他恶意软件的“前哨”。TrickBot 多年来一直不断更新模块功能以提高感染率，维持了较高的传播有效性。

TrickBot 已经演变到使用复杂基础设施的程度，该组织经常会入侵第三方服务器并将其作为恶意软件的部署点。Black Lotus Labs 在去年 10 月披露 TrickBot 还有感染路由器等消费级设备，攻击者会不断轮换 IP 地址和受感染的主机，尽可能地维持犯罪活动的运行。

TrickBot 僵尸网络经历了微软和美国网络司令部的两次铲除行动，仍然没有被彻底消灭。之前发现攻击者仍然在开发针对固件发起攻击的新模块，攻击者可以在 UEFI 固件级植入后门，逃避检测并持久驻留。

根据 Bitdefender 的说法，TrickBot 正在积极开发一个名为 vncDll的模块，该模块用于针对选定的目标进行监控和情报收集。该模块的新版本已被命名为 tvncDll。

新模块旨在与其配置文件中定义的九个 C&C 服务器中的任意一个进行通信，检索一组要执行的攻击命令、下载更多恶意软件或者将从机器收集的数据传回 C&C 服务器。此外，研究人员表示，他们确定了一个名为“viewer tool”的恶意软件，攻击者使用它通过 C&C 服务器与受害者进行交互。

虽然压制该组织活动的努力可能并没有完全成功，但微软表示它正在与互联网服务提供商(ISP)建立更广泛合作，在巴西和拉丁美洲挨家挨户更换受到 Trickbot 攻击的路由器。通过这种方法，之前已经有效地铲除了 Trickbot 在阿富汗的基础设施。

参考来源：TheHackerNews

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：贝锐智能

贝锐智能技术为您推荐以下文章