TrickBot运营商与Shathak攻击者合作获取Conti勒索软件

TrickBot特洛伊木马的运营商正在与Shathak威胁组织合作分发他们的产品，最终导致在受感染的机器上部署Conti勒索软件

“TrickBot的实施经过多年的发展，最新版本的TrickBot实现了恶意软件加载功能，”Cybereason安全分析师Aleksandar Milenkoski和Eli Salem在一份分析该组织最近开展的恶意软件分发活动的报告中说。“TrickBot在从普通网络罪犯到民族国家行为者等不同威胁行为者发起的许多攻击活动中发挥了重要作用。”

最新报告基于IBM X-Force上个月的一份报告，该报告披露了TrickBot与其他网络犯罪团伙（包括Shathak）的合作关系，以提供专有恶意软件。Shathak的绰号为TA551，他是一名老练的网络犯罪分子，在全球范围内以最终用户为目标，通过利用包含启用宏的Office文档的密码保护ZIP存档，充当恶意软件分发者

TrickBot团伙被称为ITG23或Wizard Spider，除了通过勒索软件即服务（RaaS）模式将对恶意软件的访问权出租给附属公司外，还负责开发和维护Conti勒索软件

涉及Shathak的感染链通常包括发送带有恶意软件的Word文档的钓鱼电子邮件，最终导致部署TrickBot或BazarBackdoor恶意软件，然后将其用作部署钴打击信标和勒索软件的管道，但不是在进行侦察之前，横向移动、凭证盗窃和数据过滤活动

Cybereason研究人员表示，他们观察到妥协后两天的平均赎金时间（TTR），表示从威胁行为人首次进入网络到威胁行为人实际部署赎金软件的时间

美国网络安全和基础设施安全局（联邦调查局）和联邦调查局（FBI）报告称，截至2021年9月，针对美国和国际组织的袭击发生不少于400次。

为了保护系统免受Conti勒索软件的攻击，这些机构建议实施各种缓解措施，包括“要求多因素身份验证（MFA），实施网络分段，并使操作系统和软件保持最新。”