【安全资讯】TrickBot团伙关闭了其僵尸网络基础设施

引言

TrickBot于 2016 年底首次出现，是一种臭名昭著的“ Windows犯罪软件即服务”(Windows crimeware-as-a-service)解决方案，可以用来提供下一阶段的有效载荷，如勒索软件。2月24日，TrickBot平台正式关闭了其基础设施，其运营商可能转向更新更先进的恶意软件，如 BazarBackdoor。

简况

TrickBot起源于一个名为Wizard Spider的俄罗斯犯罪集团，于2016年末作为一个金融木马首次出现，是另一个名为Dyre的银行恶意软件的衍生产品。攻击者能够利用TrickBot通过网络注入窃取信息，并释放额外的有效载荷。

Trickbot经历了动荡的 18 个月。美国网络司令部和微软没收了服务器，且美国司法部逮捕了几名涉嫌参与运行该恶意软件的成员，但 Trickbot 在整个 2021 年仍通过各种感染活动保持活跃。但 2021 年 12 月 28 日到 2022 年 2 月 17 日，研究人员没有观察到新的 Trickbot 活动。

虽然Trickbot 本身没有活动，但与 Trickbot 相关的命令和控制基础设施继续正常运行，为僵尸网络提供额外的插件、网络注入和额外配置。随着时间的推移，研究人员观察到的 Trickbot 活动数量不断减少。但是，与 Trickbot 相关的勒索软件部署活动仍在继续。TrickBot 犯罪团伙最初是为了欺诈活动，而现在几乎完全专注于勒索软件和破坏网络。

研究人员推测，Trickbot 运营商可能已将 Trickbot 恶意软件从其运营中淘汰，转而支持其他平台，例如 Emotet。TrickBot运营商还可能转向Bazar 恶意软件家族，多个威胁参与者利用这个隐蔽的后门在高价值目标中获得初步立足点并执行后续有效载荷。

总结

由于TrickBot是相对较旧的恶意软件，尚未进行重大更新，因此检测率很高。TrickBot在沉寂了近两个月之后隐退，这标志着近年来最持续的恶意软件活动之一的结束。