روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ به نقل از محققین، گروه سازنده بدافزار TrickBot بعد از سکونی غیرمعمول بین کمپین‌ها باری دیگر به میادین بازگشته اما در حال تغییر الگوی عملیاتی خویش است. در ادامه با ما همراه شوید تا این مسئله را مورد بررسی قرار دهیم.

محققین اینطور نتیجه‌گیری کرده‌اند که سکون و توقف بدافزار TrickBot نشان از تغییر بزرگ عملیاتی دارد و گویی طی این تغییر قرار است تمرکز روی بدافزار شریک مانند Emotet برود. طبق گزارشات این توقف عملیات از 28 دسامبر 2021 تا 17 فوریه 2022 بوده است. پیش از این سکون و انفعال رخداد نوامبر سال گذشته نشان داد بات‌نت TrickBot برای توزیع Emotet به کار گرفته شده است و این نشان می‌دهد تریک‌بات دارد با این بدافزار مشارکت می‌کند. همچنین گفته می‌شود پای گروه سومی هم در میان است- عاملین خانواده بدافزاری Bazar که فرمان‌های اجباری برای دانلود و اجرای TrickBot (اواسط 2021) و Emotet (نوامبر 2021) در آن دیده شده است.

این گزارش اشاره می‌کند که چگونه در سال‌های گذشته، عوامل مخرب از TrickBot برای نصب Emotet بر روی دستگاه‌های هدف استفاده کرده‌اند و بالعکس. محققان اینطور می‌پندازند که این بار، «احتمالاً اپراتورهای TrickBot بدافزار TrickBot را به نفع پلتفرم‌های دیگر مانند Emotet حذف کرده‌اند».

تاریخچه‌ی مشوش این روزهای TrickBot

TrickBot در ابتدا به عنوان یک تروجان بانکی در سال 2016 به کار گرفته شد. پس از آن، به یک اکوسیستم بدافزار کامل مملو از ابزارهایی برای جاسوسی و سرقت داده‌ها، اسکن پورت، ضد اشکال‌زدایی تبدیل شد. بدین‌ترتیب مرورگرهای محققین قبل از اینکه فرصت این را پیدا کنند که بدافزارها را شناسایی نمایند خراب می‌شد. TrickBot در سال های اخیر مورد توجه ویژه مقامات قرار گرفته است. در سال 2020، مایکروسافت حکم دادگاه ایالات متحده را دریافت کرد که به آن اجازه می‌داد سرورهای گروهی را که در پشت این بدافزار قرار داشتند، مصادره کند. سال گذشته، چندین نفر از اعضای آن گروه دستگیر و به اتهامات محكوم به سال‌ها حبس محكوم شدند. با وجود این تلاش ها، TrickBot همچنان فعال بود. تا اواخر دسامبر گذشته، یعنی زمانی که حملات جدید متوقف شد. طبق این گزارش، جدیدترین کمپین Trickbot  در 28 دسامبر 2021 منتشر شد. این یکی از سه کمپین بدافزاری بود که در طول ماه فعال بودند. در مقابل، هشت [کمپین] مختلف در نوامبر 2021 کشف شد.

در این گزارش گفته می‌شود «در حالیکه هرازگاهی آرامش‌هایی وجود داشته است، این وقفه طولانی می‌تواند غیرعادی تلقی شود.» کاهش فعالیت نیز ادامه دارد: محققین گفتند که فایل‌های تنظیمات بدافزار TrickBot که حاوی فهرستی از آدرس‌های کنترل‌کننده‌ای است که ربات می‌تواند به آنها متصل شود، «برای مدت طولانی دست نخورده باقی مانده‌اند». به نقل از محققین، این فایل‌ها زمانی مکرراً به‌روزرسانی می‌شدند، اما بعدها این آپدیت‌ها کم و کمتر شدند. از سوی دیگر، زیرساخت فرمان و کنترلمرتبط با TrickBot فعال باقی می‌ماند و به‌روزرسانی‌هایی که «پلاگین‌های اضافی، تزریق‌های وب و تنظیمات اضافی به ربات‌ها در بات‌نت» اضافه می‌کنند، همچنان فعال است. اکنون محققین با اطمینان بالا به این نتیجه رسیده‌اند که این وقفه تا حدی به دلیل تغییر بزرگ اپراتورهای TrickBot از جمله کار با اپراتورهای Emotet است.

اتحادی قدیمی

همانطور که اشاره شد، همکاری با Emotet  (و لودکننده‌ی بازار)  موضوع جدیدی نیست. اما محققین اینطور فکر می‌کنند که ماهیت این رابطه ممکن است در حال تکامل باشد. هنک شلس، مدیر ارشد راه حل‌های امنیتی Lookout از طریق ایمیل نوشت: «گفتن اینکه چه نتیجه‌ای از این همکاری می‌تواند حاصل شود دشوار است. ما می‌دانیم که Emotet اخیراً شروع به آزمایش نحوه نصب بیکن‌های Cobalt Strike روی دستگاه‌های آلوده قبلی کرده است، بنابراین شاید آنها بتوانند عملکرد را با TrickBot ترکیب کنند. Cobalt Strike یک ابزار تست نفوذ است که توسط تحلیلگران سایبری و مهاجمان به طور یکسان استفاده می‌شود. در صنعت امنیت، اشتراک دانش[1] روشی است که ما برخی از بدترین تهدیدها را کشف می کنیم. با این حال، در روی دیگر سکه، شما بازیگران تهدید کننده‌ای دارید که همین کار را انجام می دهند... آنها بدافزار خود را در تالارهای گفتگوی دارک وب و دیگر پلتفرم‌ها به روش‌هایی به اشتراک می‌گذارند که به کل جامعه کمک می ‌ند تاکتیک‌های خود را پیش ببرند». جان بامبنک، شکارچی اصلی تهدید در Netenrich نیز می‌گوید گاهی اوقات، باندهای جرایم سایبری مشارکت یا روابط تجاری بسیار شبیه به آنچه در تجارت معمولی اتفاق می‌افتد دارند. در این مورد، به نظر می‌رسد که دست‌های پشت پرده TrickBot سیاست جدید خود را روی شعار «خرید» آسان‌تر از «ساخت» است بنا کرده‌اند. برخی فکر می‌کنند که این بدافزار ممکن است روزهای آخرش باشد این حقیقت را هم در نظر می‌گیرند که TrickBot اکنون پنج ساله است: نظر امنیت سایبری عمر بالایی است. حدس محققین این است که شاید وجود پلت‌فرم‌های تازه‌تر عاملین تریک‌بات را متقاعد کرده که باید میدان را ترک کنند!

[1] knowledge-sharing

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.