臭名昭著的TrickBot恶意软件团伙关闭了其僵尸网络基础设施

被称为TrickBot的模块化Windows crimeware平台周四正式关闭了其基础设施，此前有报道称，在近两个月的活动停滞期间，该平台即将退役，标志着近年来最持久的恶意软件活动之一的结束。

AdvIntel首席执行官维塔利·克雷梅兹（Vitali Kremez）在推特上写道：“TrickBot不见了……从2022年2月24日星期四起正式发布。我们很快就会见面……或者不见面。”。“TrickBot已经消失，因为它对目标入侵的效率已经变得很低。”

TrickBot源于一家名为Wizard Spider的俄罗斯犯罪企业，于2016年末以金融特洛伊木马起家，是另一个名为Dyre的银行恶意软件的衍生产品，该软件于2015年11月被拆除。多年来，它演变成了一把名副其实的瑞士军刀，具有恶意功能，使威胁参与者能够通过网络注入窃取信息并丢弃额外的有效载荷。

TrickBot的活动在2020年10月受到明显打击，当时美国网络司令部和以微软为首的私人安全公司联盟试图破坏其大部分基础设施，迫使恶意软件的作者扩大规模并改进其策略。

安全公司Hold security在本月早些时候的一份WIRED报告中援引该公司的话说，该犯罪实体据说已在其基础设施和增长方面投资了2000多万美元，并呼吁TrickBot的“商业化结构”来运行其日常运营，并“雇佣”新的工程师加入该集团。

网络安全公司AdvIntel和Intel 471的两份报告都暗示，随着人们对TrickBot恶意软件运营的关注度增加，TrickBot五年的传奇可能会结束，这促使运营商转向更新、改进的恶意软件，如BazarBackdoor（又名BazarLoader）。

英特尔471研究人员表示：“毕竟，TrickBot是一种相对较旧的恶意软件，尚未进行重大更新。”。“检测率很高，机器人通信的网络流量很容易识别。”

事实上，恶意软件追踪研究项目的滥用。CH的Feodo Tracker表明，自2021年12月16日以来，没有新的命令和控制（C2）服务器为TooBoT攻击建立，BazarLoader和Emotet正在全力展开，新的C2服务器分别在2月19日和24日注册。

BAZARBACKOLD，最初出现在2021，起源于TooBoT的模块化工具包阿森纳的一部分，但后来演变成一个完全自主的恶意软件主要使用康蒂（先前RYUK）网络犯罪团伙在企业网络上部署勒索软件。

TrickBot的消亡也是因为Conti勒索软件的运营商从前者招募了顶尖人才，专注于BazarBackdoor等更隐蔽的替代恶意软件。英特尔471告诉《黑客新闻》：“TrickBot已经与Conti联系了一段时间，因此进一步的协同是很有可能的。”。

康蒂也被归功于复活并整合了EntEt僵尸网络到它的多管齐下攻击框架从2021年11月开始，DoPoBoT，讽刺地，作为一种交付工具来分发恶意软件在10个月的间隙之后。

“然而，长期领导TrickBot的人不会简单地消失，”AdvIntel上周指出。“在被康迪‘收购’后，他们现在有着丰富的前景，有着稳固的基础，康迪将始终找到利用现有人才的方法。”