تلاش برای مختل کردن فعالیت‌‌های TrickBot

کمیته رکن چهارم – بات‌نت، TrickBot، یکی از فعال‌ترین بات‌نت‌های موجود به‌تازگی ضربات شدیدی را از طرف عاملان صنعت امنیت سایبری با هدف مختل کردن فعالیت‌‌هایش متحمل شده است.

عملیات Trickbot با برخورد کردن با موانع مهم از اواخر ماه سپتامبر آغاز شد، هنگامی که کامپیوترهای گیر افتاده به‌روزرسانی‌هایی را دریافت کردند که با تغییر آدرس سرور فرمان و کنترل به ۱۲۷,۰.۰.۱(localhost) از بات‌نت قطع شد.

طبق اطلاعات دریافت شده از Intel۴۷۱، فایل‌های liberating configuration با منشاء ناشناخته مجدداً در ۱ اکتبر به سیستم‌های آلوده به Trickbot رسید.

در اطلاعیه‌ای، مایکروسافت و ESET اعلام کردند که همگام با امنیت سایبری و شرکت‌های ارتباط از راه دور فعالیت‌هایی را برای ایجاد اخلال در Trickbot آغاز کردند.

ژان ایان بوتین، رئیس تحقیقات تهدید ESET، در بیانیه‌ای برای BleepingComputer اظهار داشت که تلاش‌ها از چندین ماه پیش آغاز و اقدامات ایجاد اختلال متعدد انجام شده است. فعالیت‌های آنها برای اثرات طولانی‌مدت در نظر گرفته شده است، هدفی که نیاز به تجزیه‌و‌تحلیل دقیق داده‌های جمع‌آوری شده و بهترین روش استفاده از آنها در برابر Trickbot دارد.

مایکروسافت در پستی اعلام کرد که یک شبکه جهانی به رهبری واحد جرایم دیجیتال (DCU) تشکیل داده است. این مشارکت شامل ESET ،Lumen’s Black Lotus Labs ، NTT Ltd ، تجارت سازمانی سیمانتیک Broadcom، مرکز اشتراک اطلاعات و تجزیه‌وتحلیل خدمات مالی (FS-ISAC) و تیم Microsoft Defender بود.

تلاش ESET و کارگروه مذکور علیه Trickbot اگرچه قابل توجه است، اما هیچ تضمینی برای موفقیت نیست. عوامل تهدید مکانیزم جایگزین دارد که به آنها امکان می‌دهد botnet را حفظ کنند و می‌توانند رایانه‌های از دست رفته آلوده به Trickbot را بازیابی کنند. هرچند کار ساده‌ای نیست. آنها باید سخت کار کنند تا دوباره کنترل کامل میزبان های به خطر افتاده Trickbot را برقرار کنند.

در حالی که اختلال botnet بر جریان طبیعی آلودگی‌های TrickBot تأثیر می‌گذارد ، به نظر می‌رسد این گروه قادر به بهبودی و سازش سریع فعالیت منظم خود باشد.

آزمایشگاه‌های Black Lotus لومن با اشاره به اختلالات در سپتامبر و اوایل ماه اکتبر، همین مورد را در پست وبلاگ خود یادداشت کردند و گفتند که این اختلال نتوانست از آلودگی های جدید Trickbot جلوگیری کند، زیرا زیرساخت‌های botnet دست نخورده باقی مانده است.

برای دریافت ایده‌ای از پیچیدگی عملیات و چرایی دشوار بودن آن، سیستم‌های اتوماتیک ESET بیش از ۱۲۵ هزار نمونه Trickbot را با بیش از ۴۰ هزار فایل پیکربندی برای حداقل ۲۸ پلاگین جداگانه مورد استفاده توسط بدافزار برای سرقت رمزهای عبور یا تبلیغ خود مورد بررسی قرار دادند. این مولفه‌ها به احتمال زیاد توسط توسعه‌دهندگان مختلف نوشته شده و برخی از آنها برای به‌روزرسانی به سرورهای خود متصل می‌شوند.

در فایل پیکربندی یک ماژول اصلی که تعیین می‌کند کدام افزونه‌ها باید نصب شوند، لیستی از آدرس‌های سرور hardcoded C2 وجود دارد. پس از اتصال به یکی از سرورهای کنترل و فرمان hard coded، لیست دوم سرورهای C2 را برای دانلود اجزای پیش‌فرض بازیابی می‌کند.

علاوه‌بر این، تهدیدکننده به سرورهای اختصاصی C2 برای کنترل افزونه‌ها و نفوذ به اطلاعات سرقت رفته متکی است.

این تنظیم عامل تهدیدگر را قادر می‌سازد تا کنترل خود را در رایانه‌های هر کشوری حفظ کند و به آنها اجازه می دهد تا در صورت بروز اختلال به سرعت به کار خود ادامه دهند.

بر اساس داده‌های دورسنجی ESET، یکی از شرکت‌های درگیر در این عملیات در چهار سال گذشته، TrickBot بیش از یک‌میلیون کامپیوتر را در تمام مناطق جهان آلوده کرده است.

Trickbot در ابتدا یک تروجان بانکی بود سپس به یک بات‌نت تبدیل شد که بدافزارهای مختلفی را توزیع می‌کرد. در آوریل ۲۰۱۹ شرکت امنیتی Cybereason گزارش داد که این بدافزار از botnet Emotet برای توزیع استفاده می کند و بعدها باج افزار Ryuk را تحویل می دهد.

چندماه بعد Deep Instinct اعلام کرد که آنها قادر به بازیابی پایگاه داده‌ای برای گسترش بدافزار از طریق ایمیل هستند که با ۲۵۰ میلیون حساب ایمیل از ماژول Trickbot استفاده شده است.

علاوه‌بر نقش خود در حذف باج‌افزار، Trickbot همچنین فعالیت شناسایی را در شبکه به خطر انداخته ، قبل از اینکه اجازه دهد Ryuk ضربه آخر را بزند و اطلاعات حساس را بدزدد. هر دو باند باج‌افزاری Ryuk و Conti برای دسترسی به شبکه‌های آسیب دیده با TrickBot همکاری کرده‌اند.

هنگامی که رایانه‌ای به TrickBot آلوده می‌شود، تروجان درنهایت دسترسی از راه دور به یکی از باندهای باج‌افزار را فراهم می‌کند. سپس این مهاجمان از رایانه آلوده به عنوان سکوی پرتاب برای به خطر انداختن کل شبکه و استقرار باج‌افزار خود استفاده خواهند کرد.

با ایجاد اختلال در بات‌نت TrickBot، عملیات باج‌افزار نیز تحت تأثیر قرار خواهد گرفت زیرا آنها دیگر نمی‌توانند از بات‌نت برای دسترسی به شبکه‌های شرکتی استفاده کنند.

متأسفانه همان‌طور که توسط حمله گسترده باج‌افزار Ryuk به خدمات جهانی بهداشت UHS) ) در ماه سپتامبر نشان داده شد، حملات بدون وقفه ادامه یافت. عاملان Emotet ، Trickbot و Ryuk مجرمان سایبری حرفه‌ای هستند که عملیات گسترده‌ای را دنبال می‌کنند و هدف‌شان پول کلان است.

منبع : مرکز مدیریت راهبردی افتا