TrickBot部署了新的VNC模块来监视受害者他们的罢工,TrickBot正试图改造其攻击基础设施。“此次发现的新模块用于监控和收集受害者信息,使用自定义通信协议隐藏C&C服务器与受害者之间的数据传输。这使得攻击难以被发现,”Bitdefender近日透露了TrickBot的最新进展,这表明该集团的经营策略变得更加复杂。TrickBot丝毫没有退出的迹象TrickBot背后的网络犯罪团伙,被称为WizardSpider,经常从受感染主机窃取敏感信息,通过横向翻译扩大感染面,甚至成为其他恶意软件的“前哨”。TrickBot多年来不断更新模块功能,以提高感染率并保持较高的传播效率。TrickBot已经发展到可以使用复杂的基础设施,以至于该组织经常破坏第三方服务器并将它们用作恶意软件的部署点。BlackLotusLabs去年10月披露,TrickBot还会感染路由器等消费级设备。攻击者会不断轮换IP地址和受感染的主机,以尽可能地保持犯罪活动的运行。TrickBot僵尸网??络经历了微软和美国网络司令部的两次铲除行动,至今仍未彻底消灭。此前发现,攻击者仍在开发用于固件攻击的新模块。攻击者可以在UEFI固件级别植入后门,以逃避检测并持续存在。更新模块据Bitdefender称,TrickBot正在积极开发一个名为vncDll的模块,用于针对选定目标进行监控和情报收集。此模块的新版本已命名为tvncDll。新模块旨在与其配置文件中定义的九个C&C服务器中的任何一个进行通信,检索一组要执行的攻击命令,下载更多恶意软件,或将从机器收集的数据传输回C&C服务器。此外,研究人员表示,他们发现了一种被称为“查看器工具”的恶意软件,攻击者使用该恶意软件通过C&C服务器与受害者进行交互。虽然压制该组织活动的努力可能并未完全成功,但微软表示,它正在与互联网服务提供商(ISP)进行更广泛的合作,在巴西和拉丁美洲挨家挨户更换受Trickbot攻击的路由器。使用这种方法,Trickbot在阿富汗的基础设施之前已经被有效地消灭了。参考来源:TheHackerNews
