TrickBot が新しい VNC Module で復活してスパイ活動を再開?

Trickbot Malware Returns with a new VNC Module to Spy on its Victims

2021/07/13 TheHackerNews — ロシアを拠点とする多国籍サイバー犯罪グループが、最近の法執行機関による締め付け対応して、攻撃インフラを刷新するために水面下で動いていることを、サイバー・セキュリティ研究者たちが明らかにした。月曜日に Bitdefender が発表したテクニカル・レポートでは「先日に発見された新機能は、被害者を監視して情報を収集するために、独自の通信プロトコルを用いて、C2 (Command-and-Control) サーバーと被害者の間のデータ通信を隠し、攻撃を発見し難くしている。Trickbot に衰える気配はない」と述べており、このグループの戦術がより洗練されてきたことを示唆している。

ハッキングした数百台〜数千台のデバイスを、犯罪者が運営するネットワークに参加させることでボットネットは形成され、企業や重要インフラをオフラインにすることを目的とした、ネットワーク拒否攻撃に利用されることが大半となる。しかし、それらのインフラを構成する機器をコントロールできるようになると、悪意のアクターたちはボットネットを利用して、マルウェアやスパムの拡散や、暗号化ランサムウェアの展開なども可能になる。

Trickbot も同様である。この作戦の背後にいる悪名高いサイバー犯罪組織 Wizard Spider は、感染したマシンを悪用して機密情報を盗み、ネットワーク上で横方向に展開し、ランサムウェアなどのマルウェア・ローダーとなってきた実績がある、さらに、効果を高める新しいモジュールを追加することで、感染チェーンを常に改良してきた。2020年10月に Lumen の Black Lotus Labs が開示したところによると、「TrickBotは、サードパーティのサーバーを危険にさらし、それを悪用してマルウェアをホストするという、複雑なインフラを用いるように進化している。

また、DSL ルーターなどの家電製品にも感染し、犯罪者は IP アドレスや感染したホストを常に変更して、犯罪の中断をできるだけ困難にしている」とされる。その後、このボットネットは、Microsoft と U.S. Cyber Command による2度の解体を乗り越えている。そして、UEFI (Unified Extensible Firmware Interface) にバックドアを仕込み、ウイルス対策の検出や、ソフトウェアの更新、OS の再インストールから逃れることができるような、ファームウェアに干渉するコンポーネントを開発してきた。

Bitdefender によると、この脅威アクターは、vncDll と呼ばれるモジュールを積極的に更新していることが判明しました。このモジュールは、限定された著名なターゲットを対象とし、監視と情報収集のために使用され、最新バージョンは tvncDll と名付けられているそうです。このモジュールは、コンフィグレーション・ファイルで定義された、9つの C2 サーバーのうちの1つと通信し、攻撃コマンドのセットを取得し、マルウェアのペイロードをダウンロードし、サーバーに収集した情報を流出させるように設計されているそうです。さらに、攻撃者が C2 サーバーを介して被害者と対話するために使用する、Viewer Tool の存在も確認されたとのことです。Microsoft は ISP と協力して、ブラジルで Trickbot マルウェアに感染したルーターを交換したこと、アフガニスタンでは Trickbot のインフラを事実上停止させたことを、The Daily Beast 紙に語っています。

%d bloggers like this: