TrickBot-bende verschuift waarschijnlijk operaties om over te schakelen naar nieuwe malware

TrickBot Malware Campaign Nachrichten

TrickBot, de beruchte Windows crimeware-as-a-service (CaaS)-oplossing die door verschillende bedreigingsactoren wordt gebruikt om next-stage payloads zoals ransomware te leveren, lijkt een soort overgang te ondergaan, zonder dat er sinds het begin nieuwe activiteiten zijn geregistreerd van het jaar.

De stilte in de malwarecampagnes is “gedeeltelijk te wijten aan een grote verschuiving van de operators van Trickbot, inclusief het werken met de operators van Emotet”, onderzoekers van Intel 471 zei in een rapport gedeeld met The Hacker News.

De laatste reeks aanvallen waarbij TrickBot betrokken was, werd geregistreerd op 28 december 2021, ook al bleef de command-and-control (C2)-infrastructuur die aan de malware is gekoppeld, aanvullende plug-ins en webinjecties leveren aan geïnfecteerde knooppunten in het botnet.

Interessant is dat de afname van het volume van de campagnes ook gepaard ging met het feit dat de TrickBot-bende nauw samenwerkte met de operators van Emotet, die eind vorig jaar een heropleving zag na een onderbreking van 10 maanden na inspanningen van de politie om de malware aan te pakken.

De aanvallen, die voor het eerst werden waargenomen in november 2021, hadden een infectiesequentie die TrickBot gebruikte als kanaal om Emotet-binaire bestanden te downloaden en uit te voeren, terwijl Emotet voorafgaand aan de verwijdering vaak werd gebruikt om TrickBot-samples te droppen.

“Het is waarschijnlijk dat de TrickBot-operators de TrickBot-malware uit hun activiteiten hebben gehaald ten gunste van andere platforms, zoals Emotet”, aldus de onderzoekers. “TrickBot is tenslotte relatief oude malware die niet op een belangrijke manier is bijgewerkt.”

Bovendien zei Intel 471 dat het gevallen heeft waargenomen van TrickBot die Qbot-installaties naar de gecompromitteerde systemen pushte kort na de terugkeer van Emotet in november 2021, wat opnieuw de mogelijkheid vergroot van een shake-up achter de schermen om naar andere platforms te migreren.

Nu TrickBot steeds meer onder de lens komt van politie in 2021 is het misschien niet zo verwonderlijk dat de dreigingsactor erachter actief probeert om van tactiek te veranderen en hun defensieve maatregelen bij te werken.

Volgens een apart rapport vorige week gepubliceerd door Advanced Intelligence (AdvIntel), wordt aangenomen dat het Conti ransomware-kartel verschillende elite-ontwikkelaars van TrickBot heeft ingehuurd om de malware terug te trekken ten gunste van verbeterde tools zoals BazarBackdoor.

“Misschien heeft een combinatie van ongewenste aandacht voor TrickBot en de beschikbaarheid van nieuwere, verbeterde malwareplatforms de exploitanten van TrickBot ervan overtuigd om het te verlaten”, merkten de onderzoekers op. “We vermoeden dat de malware-controle-infrastructuur (C2) wordt onderhouden omdat er nog enige waarde is voor het genereren van inkomsten in de resterende bots.”

David
Rate author
Hackarizona