گردانندگان TrickBot قابلیت جدیدی به این بدافزار اضافه کرده‌اند که آن را قادر به دست‌درازی به ثابت‌افزار UEFI/BIOS دستگاه آلوده می‌کند.
به گزارش معاونت بررسی مرکز افتا به نقل از پایگاه اینترنتی ZDNet، قابلیت مذکور بخشی از امکانات ماژول جدیدی در TrickBot است که در اواخر ماه اکتبر توسط محققان شرکت‌های Advanced Intelligence و Eclypsium شناسایی شد. این محققان در گزارشی که ۱۳ آذر ماه آن را منتشر کردند جزییات فنی ماژول جدید TrickBot را مورد بررسی قرار داده‌اند.
بر اساس گزارش مذکور با فراهم شدن دسترسی به ثابت‌افزار UEFI/BIOS، بدافزار می‌تواند حتی در صورت تغییر سیستم عامل همچنان بر روی دستگاه ماندگار باقی بماند. 
همچنین ماژول جدید می‌تواند امکانات زیر را برای مهاجمان مهیا کند:

از کاراندازی دستگاه در سطح ثابت‌افزار (Firmware) از طریق ارتباطات از راه دور بدافزار

عبور از سد کنترل‌های امنیتی نظیر BitLocker، ELAM، Windows ۱۰ Virtual Secure Mode، Credential Guard و سازوکارهای حفاظت از نقاط پایانی نظیر ضدویروس، EDR و غیره

اجرای حملات دنباله‌دار در راستای بهره‌جویی از آسیب‌پذیری‌های Intel CSME که در برخی از آنها نیاز به دسترسی حافظه SPI Flash است

بی‌اثر کردن سازوکار ACM و به‌روزرسانی‌های ریزبرنامه‌ایی که آسیب‌پذیری‌های CPU نظیر Spectre و MDS را ترمیم می‌کنند

یافته‌های محققان نشان می‌دهد که در حال حاضر ماژول TrickBot صرفا اقدام به بررسی کنترل‌کننده SPI به‌منظور رصد وضعیت قابلیت Write Protection در BIOS می‌کند. در عین حال این احتمال از سوی آنها مطرح شده که دامنه فعالیت ماژول بر روی اهداف باارزش‌تر ممکن است گسترده‌تر و مخرب‌تر باشد. به‌خصوص آنکه ماژول مذکور شامل کدی است که امکان خواندن، نوشتن و پاک کردن ثابت‌افزار را هم فراهم می‌کند.
از جمله این اهداف می‌تواند شبکه سازمان‌های بزرگی باشد که گردانندگان TrickBot تمایلی به ترک آنها ندارند و بخواهند برای مدتها در آنها فعال بمانند.
همچنین این ماژول می‌تواند در حملات باج‌افزاری که در آنها گردانندگان TrickBot دسترسی به شبکه‌های آلوده و دستگاه‌های تسخیر شده را اجاره می‌دهند به خدمت گرفته شوند.

 در صورتی که قربانیان از پرداخت باج خودداری کنند این ماژول TrickBot قادر است سیستم‌های آنها را به‌طور کامل مختل کند.
ضمن اینکه با از کار انداختن پروسه راه‌اندازی شدن صحیح دستگاه مانع از یافتن رد پای مهاجمان شود.
و بسیاری احتمالات دیگر که می‌توان آنها را برای مشتریان این شبکه مخرب (Botnet) متصور بود.

 ماژول مذکور تماماً ساخته دست نویسندگان TrickBot نیست؛ در ماژول جدید از فایل RwDrv.sys بهره گرفته شده است. RwDrv.sys راه‌انداز RWEverything – برگرفته از عبارت Read Write Everything – است. RWEverything ابزاری رایگان جهت دسترسی به اجزای سخت‌افزاری نظیر حافظه Serial Peripheral Interface – به اختصار SPI – که بخشی از داده‌های ثابت‌افزار UEFI/BIOS بر روی آن نگهداری می‌شود است.
با این تکنیک، مهاجمان می‌توانند با تزریق کد آلوده به ثابت‌افزار اطمینان حاصل کنند که کد دلخواه آنها قبل از هر چیز از جمله سیستم عامل اجرا می شود.
در پی تلاش اخیر مایکروسافت و شرکای آن در انهدام این شبکه مخرب به‌نظر می‌رسد که TrickBot در تکاپوی آن است که به روزهای اوج خود باز گردد.
برخی محققان بر این باورند TrickBot نه فقط از طوفان مایکروسافت جان سالم به در برده که قدرتمندتر از قبل در حال ظهور است.
در هفته‌های گذشته، TrickBot شاهد به‌روزرسانی‌های مستمر در بخش‌هایی مختلف نظیر تکنیک‌های مبهم‌سازی (Obfuscation)، پیاده‌سازی زیرساخت سرورهای فرماندهی جدید و کارزارهای هرزنامه‌ای نو بوده است.
همه این به‌روزرسانی‌ها در راستای احیای یکی از بزرگترین تهدیدات جرایم سایبری به‌عنوان سرویس (Cybercrime-as-a-Service) است که زمانی روزانه بیش از ۴۰ هزار دستگاه را به کنترل خود در می‌آورد.
مشروح گزارش Advanced Intelligence و Eclypsium از طریق لینک زیر قابل مطالعه است:

https://eclypsium.com/۲۰۲۰/۱۲/۰۳/trickbot-now-offers-trickboot-persist-brick-profit
منبع:

https://www.zdnet.com/article/new-trickbot-version-can-tamper-with-uefibios-firmware