Xakep #305. Многошаговые SQL-инъекции
Операторы ботнета TrickBot отключили свою серверную инфраструктуру после нескольких месяцев бездействия (ботнет почти не подавал «признаков жизни» с декабря прошлого года). Таким образом, одна из самых агрессивных и продолжительных вредоносных операций за последние годы подошла к концу.
Издание The Record цитирует известного ИБ-эксперта Виталия Кремеза, главу компании AdvIntel, который говорит, что отключение инфраструктуры ботнета не было неожиданностью. Дело в том, что недавно исследователи уже предрекали скорую кончину TrickBot, так как в последнее время малварь стала легко обнаруживаться защитными продуктами, и хакеры начали переходить на использование более «интересного» и надежного BazarBackdoor.
TrickBot is gone...It is official now as of Thursday, February 24, 2022
— Vitali Kremez (@VK_Intel) February 24, 2022
See you soon ... or not ? pic.twitter.com/zWCCpngUI7
Ранее мы писали о том, что фактически управление TrickBot уже перешло в руки хакерской группировки, создавшей шифровальщика Conti, которая планировала заменить TrickBot более скрытным и новым BazarBackdoor, над которым тоже трудятся разработчики TrickBot.
«В конце концов, Trickbot — относительно старое вредоносное ПО, которое не получало серьезных обновлений. Уровень его обнаружения высок, а сетевой трафик от ботов легко распознается», — поддерживают точку зрения Кремза коллеги из Intel471.
TrickBot — один из наиболее известных и «успешных» вредоносов последних лет. Впервые малварь была замечена еще в 2015 году, вскоре после серии громких арестов, которые существенно изменили состав хак-группы Dyre.
За прошедшие годы TrickBot эволюционировал из классического банковского трояна, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров и шифровальщиков до инфостилеров).
Осенью 2020 года была проведена масштабная операция, направленная на ликвидацию TrickBot. В ней принимали участие правоохранительные органы, специалисты команды Microsoft Defender, некоммерческой организации FS-ISAC, а также ESET, Lumen, NTT и Symantec. Тогда многие эксперты писали, что хотя Microsoft удалось отключить инфраструктуру TrickBot, скорее всего, ботнет «выживет», и в конечном итоге его операторы введут в строй новые управляющие серверы, продолжив свою активностью.
К сожалению, именно это и произошло. В итоге в 2021 году TrickBot связывали с возрождением ботнета Emotet, операциями шифровальщика Diavol и вымогателем Conti.