به دنبال تلاشهای مجموعه امنیت سایبری و ارائهدهندگان سرویس مشتریان، بدافزار TrickBot که سرورهای کنترل و دستور botnet را هدف قرار میداد با عمليات حذف هماهنگ روبرو است.
منبع : مرکز مدیریت راهبردی افتا
به دنبال تلاشهای مجموعه امنیت سایبری و ارائهدهندگان سرویس مشتریان، بدافزار TrickBot که سرورهای کنترل و دستور botnet را هدف قرار میداد با عمليات حذف هماهنگ روبرو است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به نظر میرسید اقدامات اخلالگر اولیه، تشکیل botnet را رها کنند، زیرا اپراتورهای آن قادر به بازسازی زیرساختها و شبکه رایانههای آلوده بودند. اگرچه هنوز این کشمکش به پایان نرسیده، اما آخرین امتیاز در مبارزه با Trickbot بهوضوح نشان میدهد که همکاری مشترک با ریاست واحد جرائم دیجیتال مایکروسافت (DCU) تأثیر جدی داشته است.
روز ۱۲ اکتبر، مایکروسافت و شرکای آن اعلام کردند که برخی از Trickbot C2 ها را از میان بردهاند. پیش از این، گزارش شده است که فرماندهی سایبری ایالات متحده تلاش داشته تا بات نت را در آستانه انتخابات ریاست جمهوری آمریکا معیوب کند و این کار را بوسیله ورود یک فایل پیکربندی به کامپیوترهای آلوده که آنها را از سرورهای کنترل کننده قطع میکند، انجام دهد
چندی پیش شرکت امنیت سایبری اینتل ۴۷۱ مشاهده کرد که Trickbot همچنان به آلوده کردن رایانههای جدید کمک میکند و با شریک دیرینه خود، Emotet، که QBot را نیز گسترش میدهد، همکاری میکند.
باتهای Emotet با کنترلرهای خود تماس گرفته و دستورات دانلود و اجرای Trickbot را در دستگاههای قربانی دریافت می کنند. گروه Trickbot که اینتل ۴۷۱ آن را شناسایی کرد به یک کمپین آلوده کننده معمولی مرتبط است که محققان امنیت اطلاعات از ۶ ماه گذشته یا قبل تر از آن مشاهده کرده اند»- Intel ۴۷۱
محققان آزمایشگاههای لومن بلک لوتن به BleepingComputer گزارش دادند که مدیران Trickbot به طور مداوم آدرسهای C2 IP و هاستهای آلوده را تغییر می دهند و اقدامات مخرب را به یک چالش جدی تبدیل کرده اند.
آنها همچنین از سرورهای مختلفی برای برقراری ارتباط با بات ها و دریافت پلاگین هایی که به کارهای خاص اختصاص یافته (سرقت رمزهای عبور ، سرقت ترافیک ، انتشار بدافزار) استفاده می کنند. Intel ۴۷۱ خاطرنشان می کند که مدیران Trickbot هفته گذشته پرونده پیکربندی سرور پلاگین را با ۱۵ IP جدید به روز کردند. آنها دو آدرس قدیمی را به همراه دامنه onion. سرور نگه داشتند که از طریق شبکه ناشناس Tor قابل دسترسی است.
کمپینهای Trickbot به کانال های جدید C۲ تغییر کردهاند. اقدامات اولیه علیه botnet باعث «تغییر قابل توجه در ایمیل مخرب با حداکثر استفاده از Trickbot» نشده است.
مایکروسافت در یک پست وبلاگی، بهروزرسانی مربوط به عملیات اختلال Trickbot را شرح داده و می گوید که همراه با شرکای خود در سراسر جهان برای غیرفعال کردن ۹۴ درصد از زیرساختهای مهم Trickbot تلاش کردهاند.
مایکروسافت اعلام کرده است: «از ۱۸ اکتبر، ما با همکارانمان در سراسر جهان کوشش کردیم تا ۹۴ درصد از زیرساختهای عملیاتی مهم Trickbot از جمله سرورهای دستور و کنترل را که در زمان شروع اقدامات ما و زیرساخت های جدید Trickbot سعی در برقرای ارتباط آنلاین دارند، حذف کنیم.»
به گفته مایکروسافت در ۱۸ اکتبر از ابتدای شروع کار ۱۲۰ مورد از ۱۲۸ سرور Trickbot در سراسر جهان از کار افتاده اند.
زیرساخت اصلی Trickbot شامل دستگاه های اینترنت اشیا (IoT) برای کنترل بات نت است. مایکروسافت و همکارانشان هفت مورد از آنها را شناسایی کردند که همگی در مرحله غیرفعال شدن هستند.
این موفقیت به معنای پایان جنگ نیست. ساختار منحصربهفرد Trickbot نیاز به اقدام مداوم علیه آن دارد تا شانس زنده ماندنش به حداقل برسد. در حالی که ما همچنان به قطع این سرورهای جدید ادامه می دهیم، شرکای ما همچنین در تلاشند تا دستگاههای اینترنت اشیا comprom، را پاک و اصلاح کنند. به ویژه مسیریابهایی که اپراتورهای Trickbot از آنها به عنوان زیرساخت دستور و کنترل غیر سنتی استفاده میکنند.
از آنجا که TrickBot میزبان سرورهای فرمان و کنترل در مسیریاب های مشتری و مشاغل است، مایکروسافت در حال همکاری با ارائه دهندگان خدمات اینترنت (ISP) برای کمک به تعمیر دستگاهها است بدون اینکه وقفه در ترافیک قانونی آن ایجاد شود.
در حال حاضر، مدیران Trickbot مشغول تنظیم زیرساختهای جدید هستند که به دلیل حملات پی در پی جدید متحمل زمان و هزینه خواهند شد.
مایکروسافت می گوید آنها در کمتر از سه ساعت توانستند سرورهای جدید را شناسایی کرده و از کانالهای قانونی عبور کنند تا آنها را غیرفعال کنند. در یک مورد، یک ارائه دهنده خدمات مشتریان از زمان دریافت اعلام هشدار یک فعالیت غیرقانونی، سرور Trickbot را در کمتر از شش دقیقه از کار انداخت.
در نمونه بدافزار Trickbot که در ۱۹ اکتبر توزیع شد، اینتل ۱۶ سرور جدید bot۲ C۲ را که در سطح جهان پراکنده شده اند، شناسایی کرد، در حال حاضر هیچ یک از آنها به درخواست سیستم های آلوده پاسخ نمی دهند.
اینتل ۴۷۱ می گوید برخی از سرورهای Trickbot هنوز در برزیل، کلمبیا، اندونزی و قرقیزستان فعال هستند. علاوه بر این، مدیران botnet هنوز شرکایی دارند که مایل به گسترش بدافزار خود هستند.
حتی اگر این تلاشها باعث از بین رفتن Trickbot نشود، ممکن است بات نت به خودی خود از بین برود. اما فقط به این دلیل که عوامل تهدیدگر به سمت BazarLoader حرکت کرده اند از یک تروجان که به طور گستردهای توسط اپراتورهای Trickbot برای هدف قرار دادن شرکتهای با ارزش و استقرار باجافزار Ryuk در شبکههای آنها استفاده میشود.
قبل از ایجاد این اختلال، برخی از عاملان سوئیچ Trickbot را به BazaLoader توزیع میکردند که با کد مشابه Trickbot مرتبط شده است.