___

​​​​Похоже, что тычки палочкой возглавляемой Microsoft коалиции против ботнета TrickBot привели к обратному результату. В начале октября коалиция победно отчиталась о "решающем ударе" против крупнейшего криминального ботнета, который в том числе используется в крупных ransomware-операциях Ryuk и Conti . Однако, спустя несколько дней CrowdStrike остудила победный пыл, аргументированно показав, что TrickBot быстро возвращается к жизни. В частности, были внедрены новые технологии обфускации, новая C2-инфраструктура, запущены новые спам-кампании для вербовки зомби-компьютеров. Сегодня пришли ещё более тревожные новости, доказывающие, что операторы TrickBot рассержены, негодуют и решили нанести ответный удар. Рисёрчеры из AdvIntel и Eclypsium сообщили, что в боевой малваре ботнета появилась новая фича для взаимодействия с UEFI-биосом. Такой апгрейд значительно усложнит задачу не только лечения, но и обнаружения заражения. К тому же малвара сможет удалённо "окирпичивать" зараженные компьютеры, обходить системы безопасности (включая BitLocker, Windows Virtual Secure Mode, Credential Guard и некоторые антивирусы), получать доступ к SPI-контроллеру для проведения сложных атак против процессоров Intel . Фича новая, да не совсем. TrickBot позаимствовал её у популярной тулзы RWEverything. Напомним, что ранее фокусы с UEFI-биосом проделывались лишь дважды. Первый раз - в 2018 г. APT группой Fancy Bear (Sofacy, APT28) руткитом LoJax . Второй - в октябре этого года APT группой MosaicRegressor . Признаемся, увеличение частоты заглядывания в железо со стороны криминала заставляет воображение рисовать картину не самого светлого будущего.