TrickBot の進化:難読化された 20本以上のモジュールを自在に操る

TrickBot developers continue to refine the malware’s sneakiness and power

2022/02/16 CyberScoop — Check Point Research によると、汎用性の高いマルウェア TrickBot の開発者は、サイバーセキュリティ・アナリストの一歩先を進み、金融機関やテクノロジー企業の顧客に対して大きな危険をもたらし続けているとのことだ。水曜日に発表した調査結果で同社は、「TrickBot の開発者は、アンチ分析と難読化の機能を幾重にも備えており、専門家がマルウェアのコードを解析しようとする際に、Command and Control との通信を遮断し、動作を完全に停止することがある。

これらの機能は、作者の高度な技術的背景を示しており、Trickbot が非常に広く普及しているマルウェア・ファミリーである理由を説明している」と述べている。

その一方では、危険性も明らかになっている。Check Point によると、TrickBot の各モジュールは、Bank of America や Wells Fargo などの複数の大手銀行や、Microsoft や Amazon などの大手ハイテク企業の顧客から、ログイン情報を盗むために頻繁に用いられ、全体で約 60社が影響を受けていとのことだ。同社は、「これらのブランドが被害者というわけではないが、その顧客がターゲットになる可能性がある」と述べている。

TrickBot の強みの1つは、自己増殖能力にある。この機能により、ボットネット・ソフトウェアとしての初期の評価を確立している。Check Point の最新調査によると、TrickBot の開発者が機能を拡張する方向性と、その目的は何かが明らかになっている。これまで、TrickBot はロシアを起源とすると言われてきたが、同社はコードの出所については推測していない。

イスラエルに本拠を置く Check Point の Cybersecurity, Research and Innovation Manager である Alexander Chailytko は、「TrickBot の開発者たちは、きわめて低位のレベルからマルウェア開発に取り組み、細かな点にも注意を払えるスキルを持っている。この2つの要素が重なることで、一連の不正アクセス・インシデントは深刻な問題となっている。Trickbot は、すでに5年以上にもわたり、危険な脅威であり続けることができている」と述べている。

2021年12月に Check Point は、2020年の米国大統領選挙前に Microsoft と U.S. Cyber Command が、TrickBot を阻止する作戦を展開したにもかかわらず、このボットネットが立ち直ったことを指摘している。同社は、昨年末の時点で少なくとも 14万人の新たな被害者を確認しただけでなく、Emotet ボットネットの復活にも貢献していることを発見した。

Check Point によると、2020年のテイクダウン以降に TrickBot の開発者は、無防備な Web サイトのユーザーからメールやパスワードを取得する Web Injection モジュールを更新したという。また、Mimikatz や EternalRomance といった、サイバーセキュリティ研究者に馴染みのあるテクノロジーを使用することで、認証情報をキャプチャして拡散するコードも確認されている。さらに、一般的な Web ブラウザ/電子メール・プログラム/FTP クライアント/VPN プロバイダーなどのアプリケーションから、認証情報を盗み出すモジュールも備えているという。

Check Point は、「TrickBot には全体で 20以上のモジュールがあり、あらゆる種類の悪意ある活動の実行を可能にすることで、被害者のデータや銀行口座に大きな危険をもたらす」と述べている。昨年に、TrickBot の開発者とされる Vladimir Dunaev は、コンピュータ詐欺/銀行詐欺/電信送金詐欺/マネーロンダリング/個人情報保護違反の容疑で、米国に送還されている。

2021年12月8日の「TrickBot の感染は1年で 14万件:それをベースに Emotet が拡散される可能性が高い」や、2022年1月25日の「Trickbot の巧妙なインジェクション手法:防御側の検出と分析を困難にする」などを読むと、このマルウェアが手強い相手だということがよく分かります。そして、今日の記事でモジュール化のテクノロジーが解説され、その手強さがさらに裏付けられた気がします。

%d bloggers like this: