日前，威脅情資公司Advanced Intelligence(AdvIntel)對頭部網(wǎng)絡(luò)犯罪組織和集團(tuán)進(jìn)行深入剖析，發(fā)現(xiàn)網(wǎng)絡(luò)犯罪圈子在不斷趨于成熟，手法更為老練的威脅分子聚在一起組成精英集體，能夠摧毀龐大的基礎(chǔ)設(shè)施、勒索上億美元，而資質(zhì)平平的威脅分子則在暗網(wǎng)論壇上逗留。在這些網(wǎng)絡(luò)犯罪組織中，TrickBot這個惡意軟件犯罪團(tuán)伙需要特別關(guān)注。

圖1 AdvIntel制作的TrickBot小卡片，2020年

TrickBot最初是一種竊取個人財務(wù)數(shù)據(jù)的銀行木馬，但現(xiàn)在被認(rèn)為是一個模塊化惡意軟件組織，擁有完備成熟的系統(tǒng)偵察和持續(xù)性威脅功能，依賴模塊化系統(tǒng)實施攻擊活動。這意味著它的獨立模塊可以用于不同的目的，使其成為特別靈活的惡意軟件。例如在2020年7月，TrickBot測試了名為grabber.dll的神秘模塊，該版本的模塊旨在用于通過瀏覽器盜竊信息，影響了Google Chrome、Internet Explorer、Mozilla Firefox和Microsoft Edge 以及瀏覽器cookie。

圖2 AdvIntel監(jiān)測TrickBot示例，2020年秋

2021年10月，TrickBot開發(fā)了一項功能，旨在檢查攻擊對象上的UEFI/BIOS固件，以便在Ryuk(Conti)勒索軟件事件的恢復(fù)階段重建系統(tǒng)鏡像后繼續(xù)存活下來，進(jìn)一步讓攻擊者可以半永久性地使受影響的設(shè)備變成廢磚。TrickBot的AchorDNS惡意軟件安裝框架也被其他威脅分子用來攻擊醫(yī)療保健業(yè)、金融業(yè)、電信業(yè)、教育業(yè)和關(guān)鍵基礎(chǔ)設(shè)施。

圖3 在2019年，TrickBot就已擁有高度發(fā)達(dá)的組織網(wǎng)絡(luò)，涉足網(wǎng)絡(luò)犯罪的所有途徑。

然而，最令人擔(dān)憂的是，TrickBot將在勒索軟件的未來武器庫中充當(dāng)最危險的角色。AdvIntel自早期階段就一直在跟蹤TrickBot的攻擊活動，密切監(jiān)測它與Ryuk(現(xiàn)為Conti)的關(guān)系，后者已成為近期最具破壞力的網(wǎng)絡(luò)犯罪聯(lián)盟之一。在Ryuk改頭換面并試圖取締TrickBot之后，AdvIntel觀察到犯罪團(tuán)伙作案的關(guān)系開始發(fā)生了變化。

圖4 典型的TrickBot-Ransomware殺傷鏈

在2021年底，Conti實際上收購了TrickBot，多名精英開發(fā)人員和管理人員加入該組織，現(xiàn)在至少在名義上來看，TrickBot的攻擊活動已宣告結(jié)束，然而，被Conti“招安”后，這些精英們前景更廣闊，可以開發(fā)更新、更有殺傷力的產(chǎn)品，以實施更新穎、可能更致命的攻擊活動。

參考鏈接：

https://www.advintel.io/post/the-trickbot-saga-s-finale-has-aired-but-a-spinoff-is-already-in-the-works