فعالیت مجدد بات‌نت TrickBot

با وجود تلاش‌های جامعه امنیت سایبری برای مقابله با بات‌نت TrickBot، گردانندگان این بات‌نت در تلاش هستند تا با اجرای یک حمله جدید دوباره فعالیت های آن را از سر بگیرند. جدیدترین فعالیت این گروه که محققان در ماه جاری شاهد آن بوده اند، هدف گرفتن شرکت‌های بیمه و حقوقی است.

شرکت امنیت سایبری Menlo Security، با انتشار گزارش جدیدی اعلام کرده: «در جدیدترین حمله‌ای که در پلتفرم ابر جهانی ما شناسایی شده، شاهد تلاش مهاجمان برای فریب کاربران جهت کلیک و نصب بدافزار Trickbot بوده ایم. این کمپین فعال، به طور خاص شرکت‌های حقوقی و بیمه را در آمریکای شمالی هدف گرفته است».

 

تاریخچه بات نت TrickBot

TrickBot از سال 2016 میلادی شرکت‌ها و مشتریان مختلف را مورد هدف حملات خود قرار داده و موفق به آلوده کردن بیش از یک میلیون رایانه شده است. در سال‌های اخیر، همکاری طراحان این بات نت با باج‌افزار پیچیده Ryuk که شرکت‌های زیادی را در سطح جهان هدف گرفت، توجه رسانه‌ها را به خود جلب کرده است.

فعالیت TrickBot نخست به عنوان یک تروجان بانکی شروع و سپس تبدیل به پلتفرمی برای ارایه ابزارهای مجرمانه شد که عوامل این بدافزار از طریق آن قابلیت کنترل سیستم‌های آلوده را به گروه‌های هکری می‌فروختند تا آنها هم بتوانند بدافزارهای خاص خودشان را منتشر کنند. یکی از این گروه‌ها که احتمالاً بزرگترین مشتری TrickBot است، عوامل باج‌افزار Ryuk هستند. به همین دلیل معمولاً قبل از انجام حملات باج‌افزار Ryuk، شاهد آلودگی به بدافزار TrickBot هستیم.

شرکت مایکروسافت توانست با گرفتن حکم دادگاه، بسیاری از دامنه‌های مورد استفاده برای اداره سرورهای فرماندهی و کنترل TrickBot را از دسترس خارج کرده و با همکاری شرکت‌های امنیتی و ارایه‌دهندگان خدمات اینترنت (ISPها) کنترل این دامنه‌ها را در اختیار خود بگیرد. ابتدا هیچ یک از سرورهای فرماندهی و کنترل TrickBot فعال نبودند اما محققان هشدار داده اند که مهاجمان منابع زیادی را در اختیار داشته و ممکن است سعی کنند بات‌نت خودشان را دوباره احیا نمایند.

جدیدترین حمله Trickbot

فعالیت جدید بات نت TrickBot توسط Menlo شناسایی شده که با ارسال هرزنامه‌های حاوی لینک‌های مخرب آغاز می‌شود. در صورتی که کاربران بر روی این لینک‌ها کلیک کنند، به سمت صفحه‌ای هدایت می‌شوند که در آن یک هشدار خودکار درباره سهل‌انگاری در رانندگی به کاربر نمایش داده می‌شود. در این صفحه، یک دکمه برای دانلود شواهد تصویری این نقض قانونی توسط کاربر وجود دارد که اگر کاربر روی آن کلیک کند، فایل فشرده Zip شده ای را حاوی یک فایل جاوا اسکریپت مخرب، دانلود و اجرا خواهد کرد.

محققان شرکت Menlo Security گفته اند که: «کدهای جاوا اسکریپت این کمپین به شدت مبهم‌سازی شده‌اند. انجام چنین کاری یکی از شگردهای همیشگی عوامل Trickbot است. اگر کاربر فایل جاوا اسکریپت مخرب را دانلود کند، یک درخواست HTTP برای دریافت فایل نهایی باینری مخرب به سرور فرماندهی و کنترل آن ارسال خواهد شد».

محققان هنوز در حال بررسی و تحلیل پی‌لود هستند تا بتوانند تفاوت‌های احتمالی بین آن و نمونه‌های قبلی TrickBot را شناسایی کنند. در حال حاضر آنها متوجه شده اند در حملات جدید، نشانی‌های مخرب از طریق ایمیل منتشر شده اند. همچنین نشانی الکترونیکی که پی‌لود از طریق آن دانلود می‌شود، قدرت شناسایی کمی دارد.

TrickBot معماری پیمانه‌ای داشته و تاکنون ده‌ها پلاگین مختلف برای آن ایجاد شده که قابلیت‌های خاصی را به آن می‌دهد. در گذشته نیز پژوهشگران درباره یک پیشرفت نگران کننده هشدار داده بودند که در آن یک ماژول جدید به TrickBot این امکان را می‌داد که میان‌افزارهای UEFI ناامن را شناسایی کرده تا بتواند در عملکرد دستگاه‌های کاربران اختلال ایجاد نموده یا در آنها به صورت مخفیانه یک در پشتی نصب کند.

استفاده از نشانی‌های مخرب در ایمیل، یک روش نسبتاً جدید برای TrickBot است که معمولاً همیشه از طریق پیوست‌های آلوده مثل فایل‌های ورد و اکسل یا فایل‌های پروتکل راه‌اندازی شبکه جاوا (.jnlp) منتشر می‌شد. بر اساس مشاهدات جدید، این بدافزار یک بات‌نت دیگر به نام “Emotet” را منتشر می‌کرد که به‌ تازگی با اقدام مشترک نهادهای قانونی چند کشور جلوی حملات آن گرفته شده است.

محققان شرکت Menlo می‌گویند: «هر جا منفعتی وجود داشته باشد، راهی هم ساخته می‌شود. این موضوع برای عوامل TrickBot نیز صدق می‌کند. هر چند اقدام مایکروسافت و همکارانش قابل تحسین بود و فعالیت TrickBot تا حدی کمتر شد اما ظاهراً عوامل این کمپین، انگیزه‌های کافی برای بازیابی عملیات و بهره برداری از شرایط فعلی را دارند».

طبق گفته‌های محققان شرکت امنیتی Intel 471 که بعد از عملیات مایکروسافت همواره فعالیت‌های TrickBot را زیرنظر داشته‌اند، ظاهراً این فعالیت جدید مربوط به یک جی‌تگ (gtag) به نام “rob35” است (عوامل TrickBot شناسه‌های خاصی به اسم جی‌تگ به کمپین‌های خودشان اختصاص می‌دهند تا بتوانند میزان موفقیت آنها را تحت نظر بگیرند).

در آذرماه 99، کمپین دیگری با استفاده از جی‌تگ rob20 اجرا شد که در آن پس از دسترسی مهاجمان به یک مجموعه داده بازاریابی، هرزنامه‌هایی دقیق و هدفمند برای رستوران‌های زنجیره‌ای ارسال می‌شد. مدیر ارشد عملیات شرکت Inter 471 در این خصوص گفته: «ممکن است تازه‌ترین کمپین هم بر اساس مجموعه داده به سرقت رفته از یک صنعت یا برند خاص انجام شده باشد».

او می‌گوید: «در مجموع عملیات این گروه نسبت به پیش از اقدام مایکروسافت کندتر شده ولی نمی‌توان گفت که این گروه برگشته یا اینکه رفته بودند. این گروه گرداننده یک عملیات پیچیده هستند. این مهاجمان تا وقتی دستگیر نشوند به یادگیری، تنظیم و بازسازی فعالیت های مجرمانه شان ادامه خواهند داد. از ابتدای سال 2021، شاهد فعالیت ثابت بیش از 40 جی‌تگ دیگر بودیم که نشان می‌دهد این گروه هنوز هم نسبتاً فعال هستند».

 

منبع: csoonline