TrickBot 木马的运营商正在与 Shathak 威胁组织合作分发他们的软件,最终导致在受感染的机器上部署 Conti 勒索软件。
Cybereason 安全分析师 Aleksandar Milenkoski 和 Eli Salem在一份分析该组织最近进行的恶意软件分发活动的报告中说: “TrickBot的实施多年来一直在发展,最近版本的 TrickBot 实现了恶意软件加载功能。” “TrickBot 在不同威胁行为者(从普通网络犯罪分子到民族国家行为者)进行的许多攻击活动中发挥了重要作用。”
最新报告建立在 IBM X-Force 上个月的一份报告之上,该报告揭示了TrickBot 与包括 Shathak 在内的其他网络犯罪团伙的合作伙伴关系,以提供专有恶意软件。Shathak 也被追踪为 TA551 绰号,他是一个复杂的网络犯罪分子,以全球范围内的最终用户为目标,通过利用包含启用宏的 Office 文档的受密码保护的 ZIP 档案充当恶意软件分发者。
被称为 ITG23 或 Wizard Spider 的 TrickBot 团伙除了通过勒索软件即服务 ( RaaS ) 模型将恶意软件的访问权出租给附属公司之外,还负责开发和维护 Conti 勒索软件。
涉及 Shathak 的感染链通常涉及发送嵌入带有恶意软件的 Word 文档的网络钓鱼电子邮件,最终导致部署 TrickBot 或 BazarBackdoor 恶意软件,然后将其用作部署 Cobalt Strike 信标和勒索软件的管道,但不会在进行侦察、横向移动、凭据盗窃和数据泄露活动之前。
Cybereason 研究人员表示,他们观察到入侵后两天的平均赎金时间 (TTR),表示从威胁行为者最初获得网络访问权到威胁行为者实际部署勒索软件的时间。
调查结果发布之际,美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI)报告称,截至 2021 年 9 月,针对美国和国际组织的 Conti 勒索软件攻击已发生不下 400 起。
为了保护系统免受 Conti 勒索软件的侵害,这些机构建议实施各种缓解措施,包括“要求多因素身份验证 (MFA)、实施网络分段以及使操作系统和软件保持最新状态”。
原创文章,作者:CNCSO,如若转载,请注明出处:https://www.cncso.com/trickbot-operator-works-with-shathak-attacker-to-develop-conti-blackmail-software.html
