详细内容或原文请订阅后点击阅览
Trigona勒索软件采用自定义工具窃取数据并逃避检测
Trigona 勒索软件现在使用自定义命令行工具来更快地窃取数据并逃避检测,取代了 Rclone 和 MegaSync 等工具。赛门铁克研究人员报告称,最近的 Trigona 勒索软件攻击使用了定制的数据泄露工具,而不是 Rclone 或 MegaSync 等常用实用程序。 2026 年 3 月发生的事件中出现的这一转变为攻击者提供了更多控制权,并且 [...]
来源:Security Affairs _恶意软件Trigona勒索软件采用自定义工具窃取数据并逃避检测
Trigona 勒索软件现在使用自定义命令行工具来更快地窃取数据并逃避检测,取代了 Rclone 和 MegaSync 等工具。
赛门铁克研究人员报告称,最近的 Trigona 勒索软件攻击使用了定制的数据泄露工具,而不是 Rclone 或 MegaSync 等常用实用程序。这种转变在 2026 年 3 月的事件中得到了体现,它为攻击者提供了更多控制权,并帮助他们逃避检测,因为标准工具通常会被安全系统标记。研究人员认为,此举表明为了保持隐蔽性,对专有恶意软件的投资不断增加。
“发生在 2026 年 3 月的攻击标志着 Trigona 附属公司策略的重大转变。放弃公开可用工具的动机仍然未知。”阅读赛门铁克发布的报告。 “许多公开可用的工具现在已经众所周知,以至于它们可能会被安全解决方案标记。”
Trigona 自 2022 年底以来一直活跃,作为与 Rhantus 网络犯罪组织相关的勒索软件即服务运营。
Trigona 攻击者使用自定义工具 uploader_client.exe 来有效窃取数据。它连接到攻击者控制的服务器,并且看起来是私人开发的。该工具通过多个并行连接加速渗漏,并旋转连接以避免检测。
“该工具默认每个文件有五个并行连接,允许快速数据传输,从而使可用带宽饱和。”报告继续。 “它可以在发送特定量的数据(默认为 2,048 MB)后轮换 TCP 连接。这种技术可能是为了逃避网络流量监控,该监控会触发到单个 IP 地址的长期、大容量连接。”
它可以过滤掉大的、低价值的文件,并专注于文档等敏感数据。它还使用身份验证密钥来保护对被盗数据的访问。在一种情况下,它的目标是网络驱动器上的发票和高价值 PDF。
皮尔路易吉·帕格尼尼