新しいTrickBot亜種

ほぼこもセキュリティニュース By Terilogy Worx

またですか。
TrickBotで新しいバリアントが確認されています。
長い期間にわたって更新と拡張が続けられており、いまでは20を超えるモジュールを選択的に使用できるようになっています。
また60の著名な企業や金融機関をターゲットとすることができる機構を搭載しています。

実装されているモジュールはどれも悪質なものとなっていますが、新しいいくつかのモジュールは特に凶悪です。

  • injectDllモジュール
    ブラウザデータインジェクション機能を提供します。
    アンチアナリシス技術も備えており、「jquery-3.5.1.min.js」に偽装して縮小され、難読化されており、難読化解除防止機能が含まれています。
    モジュールは正規表現からURLを作成して動作します。
    また、C2はRefererヘッダーをチェックし、ヘッダーが無効または欠落している場合に有効なWeb-injectペイロードの送信を拒否することにより、研究者がC2に自動リクエストを送信して解析することを防ぎます。
    配布される部分のマルウェアだけでなくC2のコードも巧妙化が進んでいるといえそうです。
  • tabDLLモジュール
    ユーザーの資格情報を盗み、いくつかのステップでネットワークを介してマルウェアを拡散します。
    LSASSアプリケーションに細工をし、ユーザーにアプリケーションへのログイン資格情報の入力を強制し、mimikatz手法を使用して、LSASSアプリケーションメモリからクレデンシャルを取得します。
    取得したクレデンシャルはC2に送信されます。
    そしてそのクレデンシャルを使って横展開します。
  • pwgrabcモジュール
    さまざまなアプリケーションのクレデンシャルスティーラーです。
    多くの良く利用されているアプリケーションの認証情報がターゲットです。
    Chrome、ChromeBeta、Edge、EdgeBeta、Firefox、Internet Explorer、Outlook、Filezilla、WinSCP、VNC、RDP、Putty、TeamViewer、Precious、Git、OpenVPN、OpenSSH、KeePass、AnyConnect、RDCMan
    対応しているアプリケーションが多すぎます。

残念ながら、こういった脅威に対して特効薬はまだありません。
しかし対策はできます。
有効な対策はいつも通りです。
環境を最新の状態に保つ、です。
不審に見えないメールを開いてしまうことはあるかもしれません。不審に思えないサイトを閲覧してしまうこともあるかもしれません。
そういったときに最終的に侵害されてしまって被害が拡大する際には、なんらかの脆弱性の悪用が関連する場合が多いです。

パッチ適用、コツコツと継続しましょう。

参考記事(外部リンク):A Modern Ninja: Evasive Trickbot Attacks Customers of 60
High-Profile Companies

research.checkpoint.com/2022/a-modern-ninja-evasive-trickbot-attacks-customers-of-60-high-profile-companies/