Selamlar sayın Türk Hack Team üyeleri ve saygı değer yöneticileri
TrickBot haberi ile sizlerleyiz.
İyi Okumalar Dilerim.
Araştırmacılar, kötü üne sahip truva atının büyük olasılıkla bazı büyük operasyonel değişiklikler yaptığını düşünüyor.
Araştırmacılara göre, TrickBot kötü amaçlı yazılımının ardındaki grup kampanyalar arasında alışılmadık bir uzun sürtüşmenin ardından geri dönüyor, ancak artık etkinlik azalacak şekilde çalışıyor. Bu duraklamanın, TrickBot çetesinin Emotet gibi iş ortağı kötü amaçlı yazılımlarına odaklanmak için büyük bir operasyon değişikliği yapmasından kaynaklanabileceği sonucuna vardılar.
Intel 471 tarafından Perşembe günü yayınlanan bir raporda "garip" bir bağıl hareketsizlik dönemi işaretlendi ve burada "28 Aralık 2021 - 17 Şubat 2022 tarihleri arasında Intel 471 araştırmacıları yeni TrickBot kampanyaları görmedi."
Lull öncesinde geçen Kasım ayında meydana gelen bir olay, Emotet'i dağıtmak için TrickBot botnet'in kullanıldığını ve Emotet kötü amaçlı yazılımının arkasındaki grupla işbirliğinin devam ettiğini gösterdi. Intel 471 ayrıca Bazar kötü amaçlı yazılım ailesinin operatörleri olan üçüncü bir gruba da bağlandı ve denetleyicileri "TrickBot (2021 ortasında) ve Emotet (Kasım 2021) indirmek ve yürütmek için komutları zorluyor" olarak bulundu.
Raporda, geçmişte kötü amaçlı oyuncuların TrickBot'u hedef makinelere Emotet yüklemek için nasıl kullandığına ve bunun tersi de dikkate alındı. Araştırmacılar, bu sefer "TrickBot operatörlerinin TrickBot kötü amaçlı yazılımlarını Emotet gibi diğer platformların lehine operasyonlarından çıkarmış olmaları muhtemeldir."
TrickBot'un "çalkantılı" Son Geçmişi
TrickBot, ilk olarak 2016 yılında bankacılık truva atı olarak dağıtılmıştır. O zamandan bu yana tam yazılım paketi ekosistemine dönüşerek, verileri casuslama ve çalma, bağlantı noktası tarama, hata ayıklamayı önleme, araştırmacıların tarayıcılarının varlığını belirleme ve ürün yazılımını silme gibi daha birçok fırsattan önce çökmesine yönelik araçlarla yeniden tasarlandı.
TrickBot son yıllarda yetkililerden özellikle ilgi aldı. 2020 yılında Microsoft, kötü amaçlı yazılımın arkasındaki gruptan sunucuları ele geçirmesine olanak sağlayan bir ABD mahkeme emri aldı. Geçen yıl, bu grubun birden fazla üyesi tutuklanarak yıl hapis cezasına çarptırıldı. Bu çabalara rağmen TrickBot aktif kaldı.
Geçen Aralık sonuna kadar, yani yeni saldırılar durmaya devam ederken. Rapora göre, Trickbot’un en son kampanyası “28 Aralık 2021'de gerçekleşti. Bu, ay boyunca etkin olan üç kötü amaçlı yazılım kampanyasına ait bir kampanyaydı. Buna karşın, Kasım 2021'de sekiz farklı [kampanya] keşfedildi.”
“Zaman zaman selüller olmakla birlikte,” ifadesinin yer aldığı rapor, “aradan bu kadar uzun süre olağan dışı kabul edilebilir.”
Aktivitenin azalması da devam ediyor: Araştırmacılar, TrickBot'un robotun bağlanabileceği denetleyici adreslerinin bir listesini içeren yerleşik kötü amaçlı yazılım yapılandırma dosyaları, "uzun süre boyunca dokunulmamış" olduğunu söylediler.
Araştırmacılar, bu dosyaların “bir zamanlar sık sık güncellendiğini, ancak daha az sayıda ve daha az güncelleme aldığını” söyledi. Diğer yandan, TrickBot ile ilişkili komut ve kontrol (C2) altyapısı etkin kalır ve güncellemelerin “botnet'teki botlara ek eklentiler, web enjeksiyonları ve ek yapılandırmalar” eklemesiyle birlikte.
Araştırmacılar artık “bu kopukun kısmen TrickBot operatörlerinden gelen ve Emotet operatörleriyle birlikte çalışma gibi büyük bir kaymadan kaynaklandığı” konusunda büyük bir güven içinde sonuçlandı.
Eski bir İttifak
Belirtildiği gibi, Emotet (ve Bazar Loader) ile işbirliği yeni değil. Ancak araştırmacılar, Threatpost'a ilişkinin doğasının değişebileceğini söyledi.
“İşbirliğinden ne elde edebileceğini söylemek zor,” diye yazdı. “Emotet'in daha önce virüs bulaşmış cihazlara nasıl Cobalt Strike işaretleri takabileceğini test etmeye başladığını biliyoruz, bu nedenle işlevselliği TrickBot ile birleştirebilirler.” Cobalt Strike, siber analistler ve saldırganlar tarafından kullanılan bir sızma testi aracıdır.
“Güvenlik sektöründe bilgi paylaşımı, en kötü tehditlerden bazılarını nasıl keşfettiğimizi ifade ediyor,” diyor. “Ancak bozuk paranın ters tarafında aynı şeyi yapan tehdit aktörleri var… Kötü amaçlı yazılımlarını Dark Web forumlarında ve diğer platformlarda paylaşarak tüm topluluğun taktiklerini geliştirmesine yardımcı olurlar.”
Netenrich'in başlıca tehdit avcısı John Bambenek e-posta yoluyla Threatpost'a, bazen siber suç çetelerinin "geleneksel işletmedekilere benzer ortaklıkları veya iş ilişkileri" olduğunu söyledi. “Bu durumda, TrickBot'un arkasındaki ekip ‘inşa etme’ yerine ‘satın almanın’ daha kolay olduğuna karar verdi.”
Bazıları kötü amaçlı yazılımın yolda olabileceğini düşünür. Ne de olsa TrickBot şu anda beş yaşında: Siber güvenlik anlamında yaşam boyu. "Intel 471 araştırmacıları, "TrickBot'a istenmeyen ilgi ve daha yeni, geliştirilmiş kötü amaçlı yazılım platformlarının kullanılabilirliği, TrickBot'un operatörlerini bu durumu terk etmeye ikna etti."
Evet sayın Türk Hack Team takipçileri bir konumuzun daha sonuna geldik, umarım öğretici bilgiler sunabilmişimdir.
İyi Forumlar Dilerim.
