网络安全专家说,他们发现了一个新的Trickbot恶意软件组件,它执行本地网络侦察。
名为masrv,该组件包含一个https://github.com/robertdavidgraham/masscan“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>Masscan开源实用程序,用于扫描本地网络中具有可在稍后阶段受到攻击的开放端口的其他系统。
masrv背后的思想是将组件放到新感染的设备上,发送一系列Masscan命令,让组件扫描本地网络,并将扫描结果上传到Trickbot命令和控制服务器。
如果扫描发现内部网络中的敏感或管理端口保持打开状态的系统(这在大多数公司中非常常见),Trickbot团伙可以部署专门利用这些漏洞的其他模块,并横向移动以感染新病毒系统。
“不完全新颖-但奇怪的是,它被包含在Trickbot中,”可在Kryptos Logic博客上找到,Trickbot是Emotet死后的新国王,其他恶意软件也包括网络侦察模块以前,但这样的模块并不常见。
之后,执法机构已经上周关闭了Emotet恶意软件僵尸网络,Trickbot现在被认为是主要的事实对公司环境的威胁。
