Microsoft และกลุ่มพันธมิตรเตรียมจัดการขั้นเด็ดขาดกับ TrickBot botnet

 

 

 

 

 

 

Microsoft Defender team และกลุ่มพันธมิตรอันประกอบไปด้วย FS-ISAC, ESET, Lumen Black Lotus Labs, NTT และ Symantec ได้ประกาศถึงความพยายามในการประสานงานเพื่อทำการปิดโครงสร้างพื้นฐานที่เป็นแบ็กเอนด์ของบ็อตเน็ต TrickBot

การประสานความร่วมมือระหว่า Microsoft, ESET, Symantec และกลุ่มพันธมิตรอื่นๆ ที่ใช้เวลาหลายเดือนในการรวบรวมตัวอย่างมัลแวร์ TrickBot ที่มีจำนวนมากกว่า 125,000 ตัวอย่าง ซึ่งจากการวิเคราะห์เนื้อหา, การแยกข้อมูลและการจัดกลุ่มข้อมูลที่เกี่ยวกับการทำงานภายในของมัลแวร์รวมถึงเซิร์ฟเวอร์ทั้งหมดที่บ็อตเน็ตใช้ควบคุมคอมพิวเตอร์ที่ติดไวรัสและให้บริการโมดูลเพิ่มเติม เพื่อขออำนาจจากศาลในการเข้าควบคุมเซิร์ฟเวอร์บ็อตเน็ต TrickBot

ซึ่งด้วยหลักฐานทีทำการรวมรวมมานี้ศาลได้อนุมัติให้ Microsoft และกลุ่มพันธมิตรสามารถทำการปิดการใช้งาน IP addresses, ข้อมูลและเนื้อหาที่ถูกจัดเก็บไว้ใน C&C เซิร์ฟเวอร์และยังสามารถระงับการให้บริการเซิร์ฟเวอร์ทั้งหมดที่ทำการเชื่อมต่อไปยังบ็อตเน็ตจากผู้เช่าบริการเซิร์ฟเวอร์

บ็อตเน็ต TrickBot ถูกพบครั้งแรกในปี 2016 ในรูปแบบของ banking trojan ก่อนที่จะถูกพัฒนาไปเป็นมัลแวร์อเนกประสงค์ที่กลุ่มอาชญากรใช้ในการเเพร่กระจายและให้บริการในรูปที่เรียกว่า MaaS (Malware-as-a-Service) ซึ่งเป็นรูปแบบการให้บริการเช่ามัลแวร์เพื่อใช้ในการโจมตี นอกจากนี้บ็อตเน็ต TrickBot ยังมีความเชื่อมโยงกับกลุ่ม ransomware เช่น Ryuk และ Conti อีกด้วย

ที่มา: zdnet.

Nworm: TrickBot gang’s new stealthy malware spreading module

“Nworm” มัลแวร์ใหม่จากค่าย TrickBot พุ่งเป้าเเพร่กระจายและขโมยข้อมูล

นักวิจัยจาก Palo Alto ได้เผยถึงรายงานการค้นพบใหม่ในมัลแวร์กลุ่ม Trickbot หลังจากที่นักพัฒนา TrickBot ได้ทำการเปิดตัวโมดูลใหม่ของ TrickBot ซึ่งใช้เทคนิคใหม่เพื่อหลบเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการแพร่กระจายมัลแวร์สู่เครือข่าย โดยตั้งชื่อเรียกโมดูลใหม่ตัวนี้ว่า “nworm”

เมื่อเริ่มต้นทำการแพร่กระจาย มัลแวร์ TrickBot จะประเมินสภาพเเวดล้อมของเครื่องและเครือข่าย หลังจากนั้นจะทำการดาวโหลดโมดูลต่าง ๆ เพื่อทำการแพร่กระจายบนคอมพิวเตอร์ที่ติดเชื้อและในเครือข่าย

หาก TrickBot ตรวจพบว่ากำลังทำงานอยู่บน Windows Active Directory (AD) มัลแวร์จะทำการดาวโหลดโมดูลที่เรียกว่า “mworm” และ “mshare”เพื่อทำการแพร่กระจายมัลแวร์ TrickBot ไปยัง Domain Controller ที่มีช่องโหว่โดยการใช้ช่องโหว่ของ SMB

ข้อเเนะนำในการป้องกัน
เเนะนำผู้ใช้งานควรหลีกเลี่ยงการการดาวโหลดไฟล์จากเว็บไซต์ที่ไม่รู้จัก ให้ทำการอัพเดตโปรเเกรมป้องกันไวรัสอยู่เสมอเพื่อป้องกนการติดมัลแวร์และความเสี่ยงในการถูกขโมยข้อมูล

ที่มา: bleepingcomputer

Trickbot is the most prolific malware operation using COVID-19 themed lures

โปรดระวังแคมเปญมัลแวร์ Trickbot ใช้ข่าวที่เกี่ยวข้องกับ COVID-19 ในการโจมตีผู้ใช้

Microsoft Office 365 Advanced Threat Protection (ATP) ได้สังเกตถึงแคมเปญมัลแวร์ Trickbot ที่ใช้ข่าวที่เกี่ยวข้องกับ COVID-19 ในการโจมตีผู้ใช้

มัลแวร์ Trickbot จะถูกแนบไปกับเอกสารที่ถูกส่งไปทางอีเมลของผู้ใช้จำนวนมาก โดยอีเมลที่ถูกส่งไปจะมีเนื้อหาเชิญชวนให้ลงชื่อเพื่อรับการตรวจ COVID-19 ฟรี เมื่อผู้ใช้เปิดเอกสารผู้ใช้จะถูกหลอกให้เปิดใช้งานมาโครหลังจากนั้นมัลแวร์จะทำการดาวน์โหลดเพย์โหลดที่เป็นอันตรายและหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส

เมื่อมัลแวร์ TrickBot ทำงานมันจะอนุญาตให้ผู้โจมตีสามารถรวบรวมข้อมูลของผู้ใช้จากระบบที่ถูกบุกรุกและพยายามทำการเเพร่กระจายไปยังเครื่องอื่นๆ ที่อยู่ในเครือข่ายเดียวกัน

ข้อเเนะนำ
ผู้ใช้งานควรทำการตรวจสอบอีเมลที่ได้รับถ้าพบว่าอีเมลที่ได้รับไม่รู้เเหล่งที่มา ผู้ใช้งานไม่ควรทำการเปิดไฟล์ที่แนบมากับอีเมลเพื่อความปลอดภัยของข้อมูลผู้ใช้

ที่มา : securityaffairs

Hackers are making their malware more powerful by copying WannaCry and Petya ransomware tricks

Impact Level : Medium

Affected Platform : Windows with SMBv1

Conclusion : เอาเป็นแบบอย่าง! มัลแวร์ขโมยข้อมูล Emomet และ Trickbot เริ่มมีโมดูลแพร่กระจายตัวเองตาม WannaCry และ NotPetya
นักวิจัยจาก FlashPoint ได้มีการตรวจพบรุ่นใหม่ (1000029) ของมัลแวร์ Trickbot ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่แพร่กระจายเป็นจำนวนมากในสหรัฐฯ และอังกฤษ โดยในรุ่นใหม่ของ Trickbot นี้มีการเพิ่มฟีเจอร์ในการแพร่กระจายตัวเองตามแบบของ WannaCry และ NotPetya เข้าไปด้วย
Trickbot มีการใช้ EternalBlue ในการแพร่กระจายโดยโจมตีช่องโหว่ MS17-010 โดยมันจะทำการสแกนหาโดเมนในเครือข่ายโดยใช้ Windows API "NetServerEnum" และ LDAP จากเดิมที่แพร่กระจายเป็นหลักผ่านทางอีเมลฟิชชิ่ง จุดแตกต่างจาก WannaCry คือ Trickbot ไม่มีการสุ่มสแกนไอพีบนอินเตอร์เน็ตเพื่อแพร่กระจายกัน
นักวิจัยจาก Fidelis และ Barkly ก็ตรวจพบมัลแวร์ Emomet ในรุ่นที่พยายามกระจายตัวเองด้วยการโจมตีแบบ brute force เพื่อเข้าถึงระบบอื่นในเครือข่ายด้วย

Recommendation : แนะนำให้แพตช์ช่องโหว่ MS17-010 รวมถึงเพิ่มความปลอดภัยของระบบปฏิบัติการด้วยวิธีการ hardening เพื่อลดความเสี่ยงจากมัลแวร์เหล่านี้

ที่มา : ZDNet