活発化するTruebot

Truebotの活動が活性化しています。
Truebotそのものは新しいものではなく2017年から観測されています。
しかし最近の他のマルウェアと同じように、何度も変更されながら展開されてきています。

最近のTruebotの動きを見てみましょう。

初期感染経路はどんどん変わる
従来は初期感染経路はメールでした。
しかしメールではない経路がどんどんと追加されてきています。
Netwrixというセキュリティ製品の脆弱性を悪用した方法や、Raspberry RobinというUSBドライブを介して拡散するマルウェアを使う方法などが観測されています。
他にもまだあるようですが、情報がまだ十分に集まっていません。
情報収集
初期感染が完了すると、Truebotキャンペーンの活動は情報収集の段階となります。
スクリーンショット、コンピューター名、ローカルネットワーク名、Active Directoryの信頼関係情報などが収集されてC2に送信されます。
横展開
収集した情報も使いながら、感染環境で横展開が行われます。
感染環境で広く感染をすすめます。
Truebotそのものの機能
Truebotは種類としてみるとダウンローダーです。
なにかを持ち込んで実行します。
従来からファイルを取得して感染環境で実行する機能が実装されていました。
ここに、追加のペイロードやshellcodeをC2から取得した後、ファイルにすることなくそのままメモリに展開して実行する機能が追加されています。
これにより従来よりも悪意ある活動の検出が困難になってきています。
データの持ち出し
感染が十分に広がるといよいよ目的の活動が開始されます。
まずはデータの持ち出しです。
悪用されるツールはTeleportです。
TeleportはC++で構築されたカスタムデータ抽出ツールです。
これはいわばリモートコピーツールなのですが、通常の利用シーンでは必要とされにくいような機能も搭載されています。
データの持ち出し速度の制限機能を実装することで流量の変化から感染を検出されることを回避する、送信しているファイル名などの情報がわからないように暗号化する、大きすぎるファイルをコピーしないことでコピーできるファイル数を稼ぐ、終わったら自分を削除する機能で解析を逃れる、などです。
暗号化の実施
データの持ち出しが十分に完了すると、次は別のマルウェアのスケジュール実行が感染環境全体に仕掛けられます。
スケジュールされるマルウェアはClopランサムウェアです。
もう持ち出しは進んでいますのであとは暗号化して脅迫文を配置するだけです。

TruebotはSilenceというハッキンググループに関連付けられています。
Silenceには熟練度の高いハッカーがいると考えられています。
彼らは他のハッカーが作成したマルウェアをリバースエンジニアリングして必要な部分を変更して使用するようなことも実行できるようですし、C++などのコンピュータ言語を使った実装だけではなくアセンブラー命令レベルでの実装も可能なようです。
出来合いのマルウェアを使うだけでなく、彼ら自身でオリジナルのマルウェアを作成することもできます。

Silenceは以前は活動対象をロシアの組織としていましたが、現在ではグローバル化しています。
ロシア以外の地域においてもSilenceは注意が必要な脅威アクターとして認識する必要があります。