متابعات-ميكسي نيوز
TrickBot….تقوم TrickBot ، وهي واحدة من أكثر برامج البرامج الضارة سيئة السمعة والقابلة للتكيف في توسيع نطاق مجموعة أدواتها لتعيين مشاهدها على نقاط الضعف في البرامج الثابتة لنشر Bootkits المحتملة والتحكم الكامل في نظام مصاب.
الوظيفة الجديدة ، التي يطلق عليها “Trickboot“من خلال الذكاء المتقدم (ADVINTEL) و Eclypsium ، يستخدم الأدوات المتاحة بسهولة لفحص الأجهزة الخاصة بموظفات الضعف المعروفة التي يمكن أن تسمح للمهاجمين بضخ رمز ضار في البرامج الثابتة لـ UEFI/BIOS لجهاز ما ، مما يمنح المهاجمين آلية فعالة لتخزين البرامج الضارة المستمرة.
وقال الباحثون: “هذا يمثل خطوة مهمة في تطور TrickBot حيث أن عمليات زرع مستوى UEFI هي أشكال الأعمق والأقوى والخفي من أسفات القلق”.
“من خلال إضافة القدرة على وجود أجهزة ضحايا من أجل نقاط الضعف في البرامج الثابتة UEFI/BIOS ، فإن ممثلي TrickBot قادرون على استهداف ضحايا محددين من خلال ثبات على مستوى البرامج الثابتة التي تنجو من إعادة تصوير أو حتى قدرة طوب الجهاز.”
UEFI هي واجهة البرامج الثابتة واستبدال للسيوكات التي تعمل على تحسين الأمان ، مما يضمن عدم العبث ببرنامج ضار مع عملية التمهيد. نظرًا لأن UEFI يسهل تحميل نظام التشغيل نفسه ، فإن مثل هذه الالتهابات مقاومة لإعادة تثبيت نظام التشغيل أو استبدال القرص الصلب.
برز Trickbot في عام 2016 باعتباره طروادة مصرفية ، لكنه تطورت منذ ذلك الحين إلى برامج ضارة متعددة الأغراض كخدمة (MAAS) تصيب أنظمة مع حمولات ضارة أخرى مصممة لسرقة بيانات الاعتماد والبريد الإلكتروني والبيانات المالية ونشر أدوات التجميع مثل conti و Ryuk.
لقد جعلت نموذجها وتنوعه أداة مثالية لمجموعة متنوعة من الجهات الفاعلة للتهديد على الرغم من محاولات البائعين السيبرانيين لخفض البنية التحتية. وقد لوحظ أيضًا بالاقتران مع الحملات العاطفية لنشر Ryuk Ransomware.
وقال الباحثون: “تبدأ سلسلة الهجوم الأكثر شيوعًا إلى حد كبير عبر حملات العاطفة Malspam ، والتي تقوم بعد ذلك بتحميل Trickbot و/أو اللواح الأخرى ، وينتقل إلى مهاجمة أدوات مثل PowerShell Empire أو Cobalt Strike لتحقيق الأهداف المتعلقة بمنظمة الضحايا التي يتعرض لها الهجوم”. “في كثير من الأحيان ، في نهاية سلسلة القتل ، يتم نشر Conti أو Ryuk Ransomware.”
حتى الآن ، أصيب Botnet بأكثر من مليون جهاز كمبيوتر ، وفقًا لـ Microsoft وشركائها في Symantec و ESET و FS-ISAC و Lumen.
من وحدة الاستطلاع إلى وظيفة الهجوم
تشير أحدث إضافة إلى ترسانةهم إلى أنه لا يمكن استخدام TrickBot فقط لاستهداف الأنظمة بشكل جماعي مع هجمات الفدية و UEFI ولكن أيضًا يوفرون ممثلين إجراميين مزيد من النفوذ أثناء التفاوض على Ransom من خلال ترك حذاء UEFI Covert على النظام لاستخدامه لاحقًا.
يعد التطوير أيضًا علامة أخرى على أن الخلابين يمتدون تركيزهم إلى ما وراء نظام التشغيل للجهاز إلى طبقات منخفضة لتجنب الكشف وتنفيذ الحملات المدمرة أو التي تركز على التجسس.
مكون استطلاع Trickbot ، الذي لوحظ لأول مرة في أكتوبر 2020 مباشرة بعد محاولات التقيد التي تم تنظيمها بواسطة Cyber Command و Microsoft ، الأهداف الأنظمة المستندة إلى Intel من Skylake عبر Comet Lake Chipsets للتحقيق في نقاط الضعف في البرامج الثابتة UEFI للآلات المصابة.
على وجه التحديد ، وجد الباحثون أن Trastboot يأخذ الهدف من spi شريحة الفلاش التي تضم البرامج الثابتة UEFI/BIOS ، باستخدام نسخة مخففة من رويفيري برنامج التشغيل RWDRV.SYS الخاص بالأداة للتحقق مما إذا كان سجل التحكم في BIOS غير مقفل ويمكن تعديل محتويات منطقة BIOS.
على الرغم من أن النشاط يقتصر على الاستطلاع حتى الآن ، إلا أنه لن يكون امتدادًا إذا تم توسيع هذه الإمكانية لكتابة رمز ضار إلى البرامج الثابتة للنظام ، وبالتالي ضمان تنفيذ رمز المهاجم قبل نظام التشغيل ويمهد الطريق لتثبيت الخلفيات ، أو حتى تدمير الجهاز المستهدف.
ما هو أكثر من ذلك ، بالنظر إلى حجم ونطاق TrictBot ، يمكن أن يكون للهجوم من هذا النوع عواقب وخيمة.
وأشار الباحثون إلى أن “Trickboot ليس سوى سطر واحد من التعليمات البرمجية بعيدًا عن القدرة على طوب أي جهاز يجده ضعيفًا”. “الآثار المترتبة على الأمن القومي الناشئة عن حملة على نطاق واسع للبرامج الضارة القادرة على أجهزة الطوب هائلة.”
مع استمرار UEFI ، “يمكن لمشغلي TrickBot تعطيل أي عناصر تحكم أمان على مستوى نظام التشغيل الذي يريدونه ، والذي يسمح لهم بعد ذلك بإعادة السطح إلى نظام التشغيل المعدل مع حماية نقطة النهاية المحايدة وتنفيذ أهداف مع وقت غير مسدود على جانبهم.”
للتخفيف من مثل هذه التهديدات ، يوصى بالاحتفاظ بالبرامج الثابتة ، BIOS كتابة الحماية يتم تمكينها ، ويتم التحقق من سلامة البرامج الثابتة للحماية من التعديلات غير المصرح بها.
