新バージョンリリース

いろいろありまして減速するかに見えたTrickBotですが、パワーアップして帰ってきてしまいました。
過去の経緯については、当サイトの検索窓でtrickbotと入力して検索してみてください。いくつかこれまでの経緯を確認できます。（大文字小文字は気にしなくて大丈夫です。）

これまでも十分に強力な内容になっていましたが、さらにパワーアップしています。

これまでもTrickBotのC2との通信には独自プロトコルが使われるなどの理由で解析しにくい実装となっていました。
さらにそれが現在では更新され、より高機能なものになってきています。

この更新されたモジュールの名称は「tvncDLL」です。
vncDLLの新しいバージョンです。
名前から想像できるようにこれは仮想デスクトップを実現するVNCの通信を模したものになっているようです。
これらはいずれも独自プロトコルを使ってC2と通信しますので、これまでの方法では通信内容を追いかけることができません。

さらにtvncDLLは通信先のC2が9つ確認されているようで、このどれかと通信するというのです。
防御側も色々な方法を使って対応していくことになるわけですが、このような機構を搭載されると、対応の困難さが増していくように思えます。
そしてこれらの開発はいまもなお継続しています。

この情報を発見したBitdefenderが詳細なレポートを公開していますので、詳しくはそちらをどうぞ。

新バージョンリリースってうれしいものだと思っていたのですが、こういうものもありますね。
新しい防御策の検討も必要ですが、それと同じかそれ以上に日々の確実な運用の継続を怠らないようにしていこうと思います。

参考記事（外部リンク）：Trickbot Activity Increases; new VNC Module On the Radar
www.bitdefender.com/blog/labs/trickbot-activity-increases-new-vnc-module-on-the-radar