Trickbot のシステマチックな活動:ロシアによるウクライナ攻撃で観測

Russian Cybercrime Trickbot Group is systematically attacking Ukraine

2022/07/08 SecurityAffairs — IBM の研究者たちは、ロシアを拠点とするサイバー犯罪者 Trickbot グループ (別名 Wizard Spider/DEV-0193/ITG23) が、ウクライナ侵攻以来、組織的に攻撃を続けてきたことを示す証拠を収集した。また、2022年2月以降においては、Conti ランサムウェア・グループが TrickBot マルウェアの運用を引き継ぎ、さらに BazarBackdoor マルウェアへと置き換えることを計画していた。


2022年4月中旬〜6月中旬に、Trickbot グループはウクライナのエンティティに対して、少なくとも6件のキャンペーンを実施した。専門家たちは、複数のマルウェア IcedID/CobaltStrike/AnchorMail/Meterpreter などが、脅威アクターたちにより展開されるのを観察している。また、専門家たちは、ロシアの侵攻以前において、Trickbot はウクライナを標的にしておらず、同グループが使用するマルウェアは、ウクライナ語を用いるシステム上では、実行されないように設定されていたと指摘している。

IBM Security X-Force が発表した技術報告書には、「ITG23 による対ウクライナ・キャンペーンは、この活動が過去の前例と異なるレベルにあること、そして、これらのキャンペーンが、より高度な標的攻撃を示唆する、いくつかのペイロードを用いて、特にウクライナをターゲットにしていたことに注目が集まる。「観測された、ウクライナへの組織的な攻撃には、ウクライナの国家機関/組織/個人、そして一般市民に対するフィッシング攻撃などが含まれる」と記載されている。

このキャンペーンでは、機密データの盗難やランサムウェアの展開が行われ、ウクライナの経済に損害が生じた。 一連の攻撃では、脅威者は Nuclear.xls という Excel 文書も使用され、警戒すべき誘い文句を観察さている。この文書を開くと、WinRAR 自己解凍アーカイブ (SFX) がダウンロードされ、被害者のシステムに AnchorMail バックドアが配信される。また、IcedID や CobaltStrike を使った攻撃も確認されている。

IBM の研究者たちが観測した、一連の攻撃におけるもう一つの発見は、侵入に採用された Cobalt Strike ビーコンの検出を回避するために、Forest と名付けられた新たな暗号機能が使用されていることだ。この Forest 暗号は、Trickbot/Bumblebee マルウェアによる攻撃でも使用されている。

IBM は、「より大規模な活動は、現時点では確認されていないが、これらのキャンペーンは、ロシアの著名なサイバー犯罪者グループが、ウクライナを狙っていることを示す証拠となる。ウクライナは、分散型サービス妨害 (DDoS) 攻撃や改ざん、そして、ロシアの国家支援脅威アクターたちによる破壊活動など、侵攻前と侵攻後において、さまざまなサイバー活動の標的になっている」と結論付けている。

文中にあるように、Trickbot グループは様々なサーバー犯罪に関与してきましたが、ロシアによるウクライナ侵攻に同期するかたちで、組織的な攻撃を継続してきたようです。Trickbot に関しては、1月25日の「巧妙なインジェクション手法:防御側の検出と分析を困難にする」や、2月16日の「難読化された 20本以上のモジュールを自在に操る」にあるように、かなりの強敵という見方が一般です。ウクライナのサイバー防衛も大変です。→ Ukraine まとめページ

%d bloggers like this: