TrickBot 木馬的營運商正在與Shathak 威脅組織合作分發他們的軟體,最終導致在受感染的機器上部署Conti 勒索軟體。
Cybereason 安全分析師Aleksandar Milenkoski 和Eli Salem在一份分析該組織最近進行的惡意軟體分發活動的報告中表示: “TrickBot的實施多年來一直在發展,最近版本的TrickBot 實現了惡意軟體載入功能。 」 「TrickBot 在不同威脅行為者(從普通網路犯罪分子到民族國家行為者)進行的許多攻擊活動中發揮了重要作用。 」
最新報告建立在IBM X-Force 上個月的一份報告之上,該報告揭示了TrickBot 與包括Shathak 在內的其他網路犯罪集團的合作夥伴關係,以提供專有惡意軟體。 Shathak 也被追蹤為TA551 綽號,他是一個複雜的網路犯罪分子,以全球範圍內的最終用戶為目標,透過利用包含啟用巨集的Office 文件的受密碼保護的ZIP 檔案充當惡意軟體分發者。
被稱為ITG23 或Wizard Spider 的TrickBot 團夥除了透過勒索軟體即服務( RaaS ) 模式將惡意軟體的存取權出租給附屬公司之外,還負責開發和維護Conti 勒索軟體。
涉及Shathak 的感染鏈通常涉及發送嵌入帶有惡意軟體的Word 文件的網路釣魚電子郵件,最終導致部署TrickBot 或BazarBackdoor 惡意軟體,然後將其用作部署Cobalt Strike 信標和勒索軟體的管道,但不會在進行偵察、橫向移動、憑證盜竊和資料外洩活動之前。
Cybereason 研究人員表示,他們觀察到入侵後兩天的平均贖金時間(TTR),表示從威脅行為者最初獲得網路存取權到威脅行為者實際部署勒索軟體的時間。
調查結果發布之際,美國網路安全和基礎設施安全局(CISA) 和聯邦調查局(FBI)報告稱,截至2021 年9 月,針對美國和國際組織的Conti 勒索軟體攻擊已發生不下400 起。
為了保護系統免受Conti 勒索軟體的侵害,這些機構建議實施各種緩解措施,包括「要求多因素身份驗證(MFA)、實施網路分段以及使作業系統和軟體保持最新狀態」。
原文文章,作者:CNCSO,如若轉載,請註明出處:https://cncso.com/tw/trickbot-operator-works-with-shathak-attacker-to-develop-conti-blackmail-software.html
