عملکرد جدید که توسط (Advanced Intelligence (AdvIntel و Eclypsiumبه «TrickBoot» لقب گرفته است، از ابزارهای در دسترس برای بررسی آسیبپذیریهای شناخته شده دستگاهها استفاده میکند که به مهاجمین اجازه میدهد کد مخربی را در UEFI/BIOS دستگاه تزریق کنند.
محققان بر این باورند که این مرحله جهش قابل توجهی در تکامل TrickBot است، زیرا کاشتهای سطح UEFI عمیقترین، قدرتمندترین و مخفیانهترین نوع بوتکیت هستند.
تعدیل و تطبیق پذیری آن، آن را به ابزاری ایده آل برای مجموعه متنوعی از عوامل تهدید برای تخریب زیرساختها تبدیل کرده است. این بدافزار همچنین همراه با کمپینهای Emotet برای استقرار باجافزار Ryuk مشاهده شده است.
محققان میگویند: متداولترین زنجیره حمله آنها تا حد زیادی از طریق کمپینهای Emotet malspam آغاز میشود، سپس TrickBot و یا سایر لودرها را بارگیری میكند و برای حمله با ابزاری مانند PowerShell Empire یا Cobalt Strike برای دستیابی به اهداف مربوط به سازمان قربانی مورد حمله آغاز میشود. در انتها باج افزار Conti یا Ryuk مستقر میشوند.
طبق گفته مایکروسافت و شرکای آن در Symantec ، ESET ، FS-ISAC و Lumen تاکنون بیش از یک میلیون کامپیوتر آلوده شدهاند.
جدیدترین موارد اضافه شده به آنها نشان میدهد که TrickBot نه تنها میتواند برای هدف قرار دادن سیستمها به صورت دسته جمعی با حملات باجافزار و UEFI مورد استفاده قرار گیرد بلکه با گذاشتن یک بوتکیت UEFI مخفی برای استفادههای بعدی، حتی به مهاجمان اهرمهای بیشتری را در هنگام مذاکره برای باج میدهد.
یک نظر