با وجود تلاشهای جامعه امنیت سایبری برای مقابله با باتنت TrickBot، گردانندگان این باتنت در تلاش هستند تا با اجرای یک حمله جدید دوباره فعالیت های آن را از سر بگیرند. جدیدترین فعالیت این گروه که محققان در ماه جاری شاهد آن بوده اند، هدف گرفتن شرکتهای بیمه و حقوقی است.
شرکت امنیت سایبری Menlo Security، با انتشار گزارش جدیدی اعلام کرده: «در جدیدترین حملهای که در پلتفرم ابر جهانی ما شناسایی شده، شاهد تلاش مهاجمان برای فریب کاربران جهت کلیک و نصب بدافزار Trickbot بوده ایم. این کمپین فعال، به طور خاص شرکتهای حقوقی و بیمه را در آمریکای شمالی هدف گرفته است».
تاریخچه بات نت TrickBot
TrickBot از سال 2016 میلادی شرکتها و مشتریان مختلف را مورد هدف حملات خود قرار داده و موفق به آلوده کردن بیش از یک میلیون رایانه شده است. در سالهای اخیر، همکاری طراحان این بات نت با باجافزار پیچیده Ryuk که شرکتهای زیادی را در سطح جهان هدف گرفت، توجه رسانهها را به خود جلب کرده است.
فعالیت TrickBot نخست به عنوان یک تروجان بانکی شروع و سپس تبدیل به پلتفرمی برای ارایه ابزارهای مجرمانه شد که عوامل این بدافزار از طریق آن قابلیت کنترل سیستمهای آلوده را به گروههای هکری میفروختند تا آنها هم بتوانند بدافزارهای خاص خودشان را منتشر کنند. یکی از این گروهها که احتمالاً بزرگترین مشتری TrickBot است، عوامل باجافزار Ryuk هستند. به همین دلیل معمولاً قبل از انجام حملات باجافزار Ryuk، شاهد آلودگی به بدافزار TrickBot هستیم.
شرکت مایکروسافت توانست با گرفتن حکم دادگاه، بسیاری از دامنههای مورد استفاده برای اداره سرورهای فرماندهی و کنترل TrickBot را از دسترس خارج کرده و با همکاری شرکتهای امنیتی و ارایهدهندگان خدمات اینترنت (ISPها) کنترل این دامنهها را در اختیار خود بگیرد. ابتدا هیچ یک از سرورهای فرماندهی و کنترل TrickBot فعال نبودند اما محققان هشدار داده اند که مهاجمان منابع زیادی را در اختیار داشته و ممکن است سعی کنند باتنت خودشان را دوباره احیا نمایند.
جدیدترین حمله Trickbot
فعالیت جدید بات نت TrickBot توسط Menlo شناسایی شده که با ارسال هرزنامههای حاوی لینکهای مخرب آغاز میشود. در صورتی که کاربران بر روی این لینکها کلیک کنند، به سمت صفحهای هدایت میشوند که در آن یک هشدار خودکار درباره سهلانگاری در رانندگی به کاربر نمایش داده میشود. در این صفحه، یک دکمه برای دانلود شواهد تصویری این نقض قانونی توسط کاربر وجود دارد که اگر کاربر روی آن کلیک کند، فایل فشرده Zip شده ای را حاوی یک فایل جاوا اسکریپت مخرب، دانلود و اجرا خواهد کرد.
محققان شرکت Menlo Security گفته اند که: «کدهای جاوا اسکریپت این کمپین به شدت مبهمسازی شدهاند. انجام چنین کاری یکی از شگردهای همیشگی عوامل Trickbot است. اگر کاربر فایل جاوا اسکریپت مخرب را دانلود کند، یک درخواست HTTP برای دریافت فایل نهایی باینری مخرب به سرور فرماندهی و کنترل آن ارسال خواهد شد».
محققان هنوز در حال بررسی و تحلیل پیلود هستند تا بتوانند تفاوتهای احتمالی بین آن و نمونههای قبلی TrickBot را شناسایی کنند. در حال حاضر آنها متوجه شده اند در حملات جدید، نشانیهای مخرب از طریق ایمیل منتشر شده اند. همچنین نشانی الکترونیکی که پیلود از طریق آن دانلود میشود، قدرت شناسایی کمی دارد.
TrickBot معماری پیمانهای داشته و تاکنون دهها پلاگین مختلف برای آن ایجاد شده که قابلیتهای خاصی را به آن میدهد. در گذشته نیز پژوهشگران درباره یک پیشرفت نگران کننده هشدار داده بودند که در آن یک ماژول جدید به TrickBot این امکان را میداد که میانافزارهای UEFI ناامن را شناسایی کرده تا بتواند در عملکرد دستگاههای کاربران اختلال ایجاد نموده یا در آنها به صورت مخفیانه یک در پشتی نصب کند.
استفاده از نشانیهای مخرب در ایمیل، یک روش نسبتاً جدید برای TrickBot است که معمولاً همیشه از طریق پیوستهای آلوده مثل فایلهای ورد و اکسل یا فایلهای پروتکل راهاندازی شبکه جاوا (.jnlp) منتشر میشد. بر اساس مشاهدات جدید، این بدافزار یک باتنت دیگر به نام “Emotet” را منتشر میکرد که به تازگی با اقدام مشترک نهادهای قانونی چند کشور جلوی حملات آن گرفته شده است.
محققان شرکت Menlo میگویند: «هر جا منفعتی وجود داشته باشد، راهی هم ساخته میشود. این موضوع برای عوامل TrickBot نیز صدق میکند. هر چند اقدام مایکروسافت و همکارانش قابل تحسین بود و فعالیت TrickBot تا حدی کمتر شد اما ظاهراً عوامل این کمپین، انگیزههای کافی برای بازیابی عملیات و بهره برداری از شرایط فعلی را دارند».
طبق گفتههای محققان شرکت امنیتی Intel 471 که بعد از عملیات مایکروسافت همواره فعالیتهای TrickBot را زیرنظر داشتهاند، ظاهراً این فعالیت جدید مربوط به یک جیتگ (gtag) به نام “rob35” است (عوامل TrickBot شناسههای خاصی به اسم جیتگ به کمپینهای خودشان اختصاص میدهند تا بتوانند میزان موفقیت آنها را تحت نظر بگیرند).
در آذرماه 99، کمپین دیگری با استفاده از جیتگ rob20 اجرا شد که در آن پس از دسترسی مهاجمان به یک مجموعه داده بازاریابی، هرزنامههایی دقیق و هدفمند برای رستورانهای زنجیرهای ارسال میشد. مدیر ارشد عملیات شرکت Inter 471 در این خصوص گفته: «ممکن است تازهترین کمپین هم بر اساس مجموعه داده به سرقت رفته از یک صنعت یا برند خاص انجام شده باشد».
او میگوید: «در مجموع عملیات این گروه نسبت به پیش از اقدام مایکروسافت کندتر شده ولی نمیتوان گفت که این گروه برگشته یا اینکه رفته بودند. این گروه گرداننده یک عملیات پیچیده هستند. این مهاجمان تا وقتی دستگیر نشوند به یادگیری، تنظیم و بازسازی فعالیت های مجرمانه شان ادامه خواهند داد. از ابتدای سال 2021، شاهد فعالیت ثابت بیش از 40 جیتگ دیگر بودیم که نشان میدهد این گروه هنوز هم نسبتاً فعال هستند».
منبع: csoonline