Осенью 2020 года была проведена масштабная операция, направленная на ликвидацию одного из крупнейших ботнетов наших дней, TrickBot. В ней принимали участие правоохранительные органы, специалисты команды Microsoft Defender, некоммерческой организации FS-ISAC, а также ESET, Lumen, NTT и Symantec.
Однако уже тогда многие эксперты писали, что хотя Microsoft удалось отключить инфраструктуру TrickBot, скорее всего, в итоге ботнет «выживет», и в конечном итоге его операторы введут в строй новые управляющие серверы, продолжив свою активностью. К сожалению, так и произошло. Уже в конце прошлого года TrickBot вернулся в строй и получил множество обновлений: появились новые методы обфускации, новая управляющая инфраструктура, а вскоре аналитики заметили и новые спам-кампании.
Как теперь рассказывают исследователи из компании Kryptos Logic, они обнаружили новый компонент TrickBot, который занимается разведкой в локальной сети.
Компонент получил имя masrv и включает в себя копию Masscan — опенсорсной утилиты для сканирования локальных сетей в поисках систем с открытыми портами. Принцип работы masrv прост: он загружается на недавно зараженные устройства, отправляет серию команд Masscan, чтобы сканировать локальную сеть, а затем передает результаты этого сканирования на управляющий сервер TrickBot.
Если masrv обнаруживает в локальной сети системы с открытыми портами, операторы TrickBot используют их для бокового перемещения по сети жертвы: разворачивают другие модули, специализирующиеся на использовании подобных лазеек, и заражают новые хосты.
Эксперты Kryptos Logic отмечают, что новый модуль, похоже, еще находится на стадии тестирования, и пока им удалось обнаружить лишь один его вариант.