Trickbot マルウェア:新年と昔ながらのルアー

2021 年はセキュリティ専門家にとって困難な年になるでしょう。SUNBURST 攻撃と Solarwinds ハッキングによる影響はまだ完全には理解されておらず、私たち全員の認識と懸念は依然として高まっています。

当社の脅威ラボチームは、隔離機能を備えたクラウドセキュリティ企業でセキュリティイベントと1日4,000万件を超えるセッションを分析し、新たな脅威を常に探しています。最近、トリックボットと呼ばれる既知の脅威の再出現を観察しました。

Trickbotは、時代を超えて存続してきた多作なマルウェアです。2020年には、ランサムウェアの拡散に大きな役割を果たし、新型コロナウイルスの攻撃を仕掛けたマルウェアとしては最も人気がありました。非常に多作だったため、 2020 年 10 月、マイクロソフトはパートナーとともに、悪名高いTrickbotを妨害して倒すよう裁判所命令を受けました。これは、攻撃者が感染したエンドポイントにコマンドを配布したり送信したりするために使用していたインフラストラクチャをダウンさせることで実現しました。

このブログでは、Trickbotの感染がどのように再発し、活発になっているかを示すキャンペーンの分析について詳しく説明します。。全世界で実施した直近のキャンペーンでは Menlo セキュリティクラウドプラットフォーム、攻撃者が興味深い仕掛けを使ってユーザーにTrickbotマルウェアをクリックしてエンドポイントにインストールさせたことに気付きました。

当社が独占的にターゲットと特定したこの継続的なキャンペーン 北米の法律および保険業界 最初のベクターは、URL へのリンクを含む電子メールのようです。これまで Trickbot は武器化された文書を使用していましたが、このキャンペーンで詳述されている感染メカニズムは、このグループが使用する新しい手口のようです。ユーザーが電子メールの最初の URL をクリックすると、ユーザーは侵害されたサーバーにリダイレクトされ、悪質なペイロードをダウンロードするように誘導されます。以下の図はリダイレクトチェーンを示しています。

ユーザーが移動する最後のページは、以下のスクリーンショットのようになります。Trickbot の攻撃者は、トラフィック侵害の誘惑を利用して、ユーザーを怖がらせて悪意のあるペイロードをダウンロードさせようとしています。

「フォトプルーフをダウンロード」ボタンをクリックすると、悪意のある JavaScript ファイルを含むzipアーカイブがエンドポイントにダウンロードされます。

埋め込まれたJavaScriptは、Trickbotマルウェアの典型的なTTPである非常に難読化されています。ユーザーがダウンロードした javascript ファイルを開くと、CnC サーバーに HTTP リクエストが行われ、最終的に悪質なバイナリがダウンロードされます。

マルウェアがダウンロードされた最初のURLと接続先のCnCの両方に、人気の脅威フィードであるURLHausではTrickbotというタグが付けられています。

このブログを書いている時点で、このTrickbotキャンペーンで特定されたURLの中には、VTでほとんどまたはまったく検出されないものがあります。

Menlo Labsは、非常に難読化されたJavaScriptと、エンドポイントにダウンロードされるバイナリペイロードをまだ分析中です。このボットネットの削除前と削除後の取り組みの類似点と相違点があれば、さらに詳細を公開する予定です。

結論:

意志があれば道は開けるそのことわざは、トリックボットの作戦の背後にいる悪役たちにも確かに当てはまる。マイクロソフトとそのパートナーの行動は称賛に値し、トリックボットの活動は少しずつ減少しましたが、脅威アクターは業務を回復し、現在の脅威環境から利益を得ようとする十分な動機を持っているようです。脅威アクターに永久に門戸を閉ざしてください Menloセキュリティソリューション。