TrickBot با عملیات حذف هماهنگ روبرو است
کد مطلب: 17161
تاریخ انتشار : سه شنبه ۶ آبان ۱۳۹۹ ساعت ۱۶:۵۳
 
به دنبال تلاش‌های مجموعه امنیت سایبری و ارائه‌دهندگان سرویس مشتریان، بدافزار TrickBot که سرورهای کنترل و دستور botnet را هدف قرار می‌داد با عمليات حذف هماهنگ روبرو است.
TrickBot با عملیات حذف هماهنگ روبرو است
 
 
Share/Save/Bookmark
به دنبال تلاش‌های مجموعه امنیت سایبری و ارائه‌دهندگان سرویس مشتریان، بدافزار TrickBot که سرورهای کنترل و دستور botnet را هدف قرار می‌داد با عمليات حذف هماهنگ روبرو است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به نظر می‌رسید اقدامات اخلال‌گر اولیه، تشکیل botnet را رها کنند، زیرا اپراتورهای آن قادر به بازسازی زیرساخت‌ها و شبکه رایانه‌های آلوده بودند. اگرچه هنوز این کشمکش به پایان نرسیده، اما آخرین امتیاز در مبارزه با Trickbot به‌وضوح نشان می‌دهد که همکاری مشترک با ریاست واحد جرائم دیجیتال مایکروسافت (DCU) تأثیر جدی داشته است.

روز ۱۲ اکتبر، مایکروسافت و شرکای آن اعلام کردند که برخی از Trickbot C2 ها را از میان برده‌اند.
پیش از این، گزارش شده است که فرماندهی سایبری ایالات متحده تلاش داشته تا بات نت را در آستانه انتخابات ریاست جمهوری آمریکا معیوب کند و این کار را بوسیله ورود یک فایل پیکربندی به کامپیوترهای آلوده که آنها را از سرورهای کنترل کننده قطع می‌کند، انجام دهد

چندی پیش شرکت امنیت سایبری اینتل ۴۷۱ مشاهده کرد که Trickbot همچنان به آلوده کردن رایانه‌های جدید کمک می‌کند و با شریک دیرینه خود، Emotet، که QBot را نیز گسترش می‌دهد، همکاری می‌کند.

بات‌های Emotet با کنترلرهای خود تماس گرفته و دستورات دانلود و اجرای Trickbot را در دستگاه‌های قربانی دریافت می کنند. گروه Trickbot که اینتل ۴۷۱ آن را شناسایی کرد به یک کمپین آلوده کننده معمولی مرتبط است که محققان امنیت اطلاعات از ۶ ماه گذشته یا قبل تر از آن مشاهده کرده اند»-
Intel ۴۷۱

محققان آزمایشگاه‌های لومن بلک لوتن به BleepingComputer گزارش دادند که مدیران Trickbot به طور مداوم آدرس‌های C2 IP و هاست‌های آلوده را تغییر می دهند و اقدامات مخرب را به یک چالش جدی تبدیل کرده اند.

آنها همچنین از سرورهای مختلفی برای برقراری ارتباط با بات ها و دریافت پلاگین هایی که به کارهای خاص اختصاص یافته (سرقت رمزهای عبور ، سرقت ترافیک ، انتشار بدافزار) استفاده می کنند.
Intel ۴۷۱ خاطرنشان می کند که مدیران Trickbot هفته گذشته پرونده پیکربندی سرور پلاگین را با ۱۵ IP جدید به روز کردند. آنها دو آدرس قدیمی را به همراه دامنه onion. سرور نگه داشتند که از طریق شبکه ناشناس Tor قابل دسترسی است.

کمپین‌های Trickbot به کانال های جدید C۲ تغییر کرده‌اند. اقدامات اولیه علیه botnet باعث «تغییر قابل توجه در ایمیل مخرب با حداکثر استفاده از Trickbot» نشده است.

مایکروسافت در یک پست وبلاگی، به‌روزرسانی مربوط به عملیات اختلال Trickbot را شرح داده و می گوید که همراه با شرکای خود در سراسر جهان برای غیرفعال کردن ۹۴ درصد از زیرساخت‌های مهم Trickbot تلاش کرده‌اند.

مایکروسافت اعلام کرده است: «از ۱۸ اکتبر، ما با همکاران‌مان در سراسر جهان کوشش کردیم تا ۹۴ درصد از زیرساخت‌های عملیاتی مهم Trickbot از جمله سرورهای دستور و کنترل را که در زمان شروع اقدامات ما و زیرساخت های جدید Trickbot سعی در برقرای ارتباط آنلاین دارند، حذف کنیم.»

به گفته مایکروسافت در ۱۸ اکتبر از ابتدای شروع کار ۱۲۰ مورد از ۱۲۸ سرور Trickbot در سراسر جهان از کار افتاده اند.

زیرساخت اصلی Trickbot شامل دستگاه های اینترنت اشیا (IoT) برای کنترل بات نت است. مایکروسافت و همکاران‌شان هفت مورد از آنها را شناسایی کردند که همگی در مرحله غیرفعال شدن هستند.

این موفقیت به معنای پایان جنگ نیست. ساختار منحصربه‌فرد Trickbot نیاز به اقدام مداوم علیه آن دارد تا شانس زنده ماندنش به حداقل برسد. در حالی که ما همچنان به قطع این سرورهای جدید ادامه می دهیم، شرکای ما همچنین در تلاشند تا دستگاه‌های اینترنت اشیا comprom، را پاک و اصلاح کنند. به ویژه مسیریاب‌هایی که اپراتورهای Trickbot از آنها به عنوان زیرساخت دستور و کنترل غیر سنتی استفاده می‌کنند.

از آنجا که TrickBot میزبان سرورهای فرمان و کنترل در مسیریاب های مشتری و مشاغل است، مایکروسافت در حال همکاری با ارائه دهندگان خدمات اینترنت (ISP) برای کمک به تعمیر دستگاه‌ها است بدون اینکه وقفه در ترافیک قانونی آن ایجاد شود.

در حال حاضر، مدیران Trickbot مشغول تنظیم زیرساخت‌های جدید هستند که به دلیل حملات پی در پی جدید متحمل زمان و هزینه خواهند شد.

مایکروسافت می گوید آنها در کمتر از سه ساعت توانستند سرورهای جدید را شناسایی کرده و از کانال‌های قانونی عبور کنند تا آنها را غیرفعال کنند. در یک مورد، یک ارائه دهنده خدمات مشتریان از زمان دریافت اعلام هشدار یک فعالیت غیرقانونی، سرور Trickbot را در کمتر از شش دقیقه از کار انداخت.

در نمونه بدافزار Trickbot که در ۱۹ اکتبر توزیع شد، اینتل ۱۶ سرور جدید bot۲ C۲ را که در سطح جهان پراکنده شده اند، شناسایی کرد، در حال حاضر هیچ یک از آنها به درخواست سیستم های آلوده پاسخ نمی دهند.

اینتل ۴۷۱ می گوید برخی از سرورهای Trickbot هنوز در برزیل، کلمبیا، اندونزی و قرقیزستان فعال هستند. علاوه بر این، مدیران botnet هنوز شرکایی دارند که مایل به گسترش بدافزار خود هستند.

حتی اگر این تلاش‌ها باعث از بین رفتن Trickbot نشود، ممکن است بات نت به خودی خود از بین برود. اما فقط به این دلیل که عوامل تهدیدگر به سمت BazarLoader حرکت کرده اند از یک تروجان که به طور گسترده‌ای توسط اپراتورهای Trickbot برای هدف قرار دادن شرکت‌های با ارزش و استقرار باج‌افزار Ryuk در شبکه‌های آنها استفاده می‌شود.‌

قبل از ایجاد این اختلال، برخی از عاملان سوئیچ Trickbot را به BazaLoader توزیع می‌کردند که با کد مشابه Trickbot مرتبط شده است.
مرجع : مرکز مدیریت راهبردی افتا