日前,威胁情报公司AdvancedIntelligence(AdvIntel)对顶级网络犯罪组织和团体进行了深入分析,发现网络犯罪圈子越来越成熟,越来越精明的威胁分子聚集在一起形成一个精英群体。能够摧毁庞大的基础设施并勒索数亿美元,不那么出色的威胁行为者在暗网论坛上徘徊。在这些网络犯罪组织中,TrickBot恶意软件团伙尤其值得关注。图1AdvIntel出品的TrickBot小卡,2020TrickBot最初是一个窃取个人财务数据的银行木马,现在被认为是一个模块化的恶意软件群体,具有完整成熟的系统侦察和持久威胁功能,依托模块系统进行攻击。这意味着它的各个模块可以用于不同的目的,使其成为一种特别灵活的恶意软件。例如,2020年7月,TrickBot测试了一个名为grabber.dll的神秘模块,该版本旨在通过浏览器窃取信息,影响GoogleChrome、InternetExplorer、MozillaFirefox和MicrosoftEdge,以及浏览器cookie。图2AdvIntel监控TrickBot示例,2020年秋季2021年10月,TrickBot开发了一项功能,旨在检查攻击目标上的UEFI/BIOS固件,以便在Ryuk(Conti)勒索软件事件的恢复阶段重建系统映像后继续生存进一步允许攻击者半永久性地使受影响的设备成为废砖。TrickBot的AchorDNS恶意软件安装框架也被其他威胁行为者用来攻击医疗保健、金融、电信、教育和关键基础设施。图32019年,TrickBot已经拥有高度发达的组织网络,涉足网络犯罪的各个渠道。然而,最令人担忧的是,TrickBot将在勒索软件的未来武器库中扮演最危险的角色。AdvIntel从早期阶段就开始关注TrickBot的活动,密切关注其与Ryuk(现为Conti)的关系,后者已成为近期记忆中最具破坏性的网络犯罪联盟之一。在Ryuk更名并试图取缔TrickBot之后,AdvIntel观察到犯罪团伙之间的关系发生了变化。图4典型的TrickBot-勒索软件杀伤链2021年年底,Conti实际上收购了TrickBot,并有多名精英开发人员和管理人员加入该组织。现在,至少在名义上,TrickBot的攻击活动已经结束。经过康蒂的“招募”,这些精英们有了更广阔的前景,可以研发出更新、杀伤力更强的产品,以进行更新、潜在杀伤力更大的攻击。参考链接:https://www.advintel.io/post/the-trickbot-saga-s-finale-has-aired-but-a-spinoff-is-already-in-the-works
