عملکرد جدید که توسط (Advanced Intelligence (AdvIntel و Eclypsiumبه «TrickBoot» لقب گرفته است، از ابزارهای در دسترس برای بررسی آسیب‌پذیری‌های شناخته شده دستگاه‌ها استفاده می‌کند که به مهاجمین اجازه می‌دهد کد مخربی را در UEFI/BIOS دستگاه تزریق کنند.

محققان بر این باورند که این مرحله جهش قابل توجهی در تکامل TrickBot است، زیرا کاشت‌های سطح UEFI عمیق‌ترین، قدرتمندترین و مخفیانه‌ترین نوع بوت‌کیت هستند.

تعدیل و تطبیق پذیری آن، آن را به ابزاری ایده آل برای مجموعه متنوعی از عوامل تهدید برای تخریب زیرساخت‌ها تبدیل کرده است. این بدافزار همچنین همراه با کمپین‌های Emotet برای استقرار باج‌افزار Ryuk مشاهده شده است.

محققان می‌گویند: متداول‌ترین زنجیره حمله آنها تا حد زیادی از طریق کمپین‌های Emotet malspam آغاز می‌شود، سپس TrickBot و یا سایر لودرها را بارگیری می‌كند و برای حمله با ابزاری مانند PowerShell Empire یا Cobalt Strike برای دستیابی به اهداف مربوط به سازمان قربانی مورد حمله آغاز می‌شود. در انتها باج افزار Conti یا Ryuk مستقر می‌شوند.
طبق گفته مایکروسافت و شرکای آن در Symantec ، ESET ، FS-ISAC و Lumen تاکنون بیش از یک میلیون کامپیوتر آلوده شده‌اند.

جدیدترین موارد اضافه شده به آنها نشان می‌دهد که TrickBot نه تنها می‌تواند برای هدف قرار دادن سیستم‌ها به صورت دسته جمعی با حملات باج‌افزار و UEFI مورد استفاده قرار گیرد بلکه با گذاشتن یک بوت‌کیت UEFI مخفی برای استفاده‌های بعدی، حتی به مهاجمان اهرم‌های بیشتری را در هنگام مذاکره برای باج می‌دهد.

 


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

114

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *