freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

TrickBot正部署新的VNC模块监控受害者
2021-07-13 16:37:44

网络安全研究人员近日揭露了 TrickBot 恶意软件想要卷土重来的意图,这个运作总部位于俄罗斯的跨国网络犯罪组织正在幕后积极扩张,以应对执法部门最近对它们的打击行动,TrickBot 正在尝试改造其攻击基础设施。

image.png-34.4kB

此次发现的新模块用于监控和收集受害者的信息,使用自定义的通信协议来隐藏 C&C 服务器和受害者之间的数据传输。这就使得攻击难以被发现”,Bitdefender 近期披露了 TrickBot 的最新动态,这表明该组织的运营策略变得更加复杂。

TrickBot 没有要退出的迹象

TrickBot 背后的网络犯罪团伙被称为 Wizard Spider,经常从失陷主机窃取敏感信息、通过横向平移扩大感染面,甚至成为其他恶意软件的“前哨”。TrickBot 多年来一直不断更新模块功能以提高感染率,维持了较高的传播有效性。

TrickBot 已经演变到使用复杂基础设施的程度,该组织经常会入侵第三方服务器并将其作为恶意软件的部署点。Black Lotus Labs 在去年 10 月披露 TrickBot 还有感染路由器等消费级设备,攻击者会不断轮换 IP 地址和受感染的主机,尽可能地维持犯罪活动的运行。

TrickBot 僵尸网络经历了微软和美国网络司令部的两次铲除行动,仍然没有被彻底消灭。之前发现攻击者仍然在开发针对固件发起攻击的新模块,攻击者可以在 UEFI 固件级植入后门,逃避检测并持久驻留。

更新模块

根据 Bitdefender 的说法,TrickBot 正在积极开发一个名为 vncDll的模块,该模块用于针对选定的目标进行监控和情报收集。该模块的新版本已被命名为 tvncDll

新模块旨在与其配置文件中定义的九个 C&C 服务器中的任意一个进行通信,检索一组要执行的攻击命令、下载更多恶意软件或者将从机器收集的数据传回 C&C 服务器。此外,研究人员表示,他们确定了一个名为“viewer tool”的恶意软件,攻击者使用它通过 C&C 服务器与受害者进行交互。

虽然压制该组织活动的努力可能并没有完全成功,但微软表示它正在与互联网服务提供商(ISP)建立更广泛合作,在巴西和拉丁美洲挨家挨户更换受到 Trickbot 攻击的路由器。通过这种方法,之前已经有效地铲除了 Trickbot 在阿富汗的基础设施。

参考来源

TheHackerNews

# 数据窃取 # VNC # TrickBot
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录