トロイの木馬「Trickbot」の新機能

バンキング型トロイの木馬であるTrickbotは、過去5年の間に、多機能なサイバー犯罪者向けツールへと変化してきました。

当社のソリューションが「Trickbot」(別名:TrickLoader、Trickster)という名のトロイの木馬に初めて遭遇したのはちょうど5年前、2016年10月のことでした。当時は家庭用コンピューターで見つかることがほとんどで、主な目的はオンラインバンキングサービスのログイン情報を盗むことでした。しかし近年は、多機能なモジュラー型のツールへと姿を変えています。

それだけでなく、サードパーティーのマルウェアを企業インフラへ引き込む手段として、今ではサイバー犯罪者グループの間で広く使用されています。最近では、Trickbotの作者がさまざまな新規パートナーと提携し、Trickbotを使用してさまざまな種類の脅威(ランサムウェアContiなど)を企業インフラへ感染させていると報じられています(英語記事)。

このようにTrickbotが別の目的に転用されるようになったことで、企業SOCの担当者をはじめサイバーセキュリティのエキスパートたちには、さらなる危険がもたらされる可能性があります。一部のセキュリティソリューションは今でもTrickbotを、その元々の性質から、バンキング型トロイの木馬と認識します。そのため、このマルウェアを検知した情報セキュリティ担当者は、不特定多数のホームユーザーを狙うマルウェアが企業ネットワークに紛れ込んだと考えるかもしれません。実際には、Trickbotの存在は、ランサムウェアを送り込もうという試みや標的型の諜報活動など、もっと深刻な事態を示す可能性があります。

当社エキスパートは、このトロイの木馬の各種モジュールを指令サーバーからダウンロードすることに成功し、これらを詳細に調査しました。

現在のTrickbotに可能なこと

現在のTrickbotは、ローカルネットワークに侵入して感染を広げることを主目的としています。Trickbotを操る者たちはTrickbotを通じ、企業インフラへのアクセス権を他の攻撃者に再販する、機密情報を盗むなど、さまざまなことが可能です。Trickbotには以下の機能があります。

  • ユーザー名、パスワードハッシュ、横展開に利用できるその他情報をActive Directoryおよびレジストリから収集する。
  • 感染コンピューター上でWebトラフィックを傍受する。
  • VNCを通じてデバイスをリモートコントロール可能とする。
  • ブラウザーからCookieを盗む。
  • レジストリ、さまざまなアプリケーションのデータベース、設定ファイルからログイン情報を取り出すほか、秘密鍵、SSL証明書、暗号資産(仮想通貨)ウォレットのデータファイルを盗む。
  • ブラウザーの自動入力データや、Webサイト上のフォームに入力された情報を傍受する。
  • FTPサーバーおよびSFTPサーバー上のファイルをスキャンする。
  • Webページに悪意あるスクリプトを埋め込む。
  • ローカルプロキシを通じ、ブラウザーのトラフィックをリダイレクトする。
  • 証明書チェーンの検証を担うAPIを乗っ取り、検証結果を偽る。
  • Outlookプロファイルのログイン情報を収集し、Outlook内のメールを傍受し、Outlookを通じてスパムを送信する。
  • OWAサービスを探し、総当たり攻撃を仕掛ける。
  • ハードウェアに対する低レベルのアクセス権を入手する。
  • コンピューターに対するハードウェアレベルのアクセスを提供する。
  • 脆弱性がないかどうかドメインを探索する。
  • SQLサーバーのアドレスを見つけだし、そこで検索クエリを実行する。
  • EternalRomanceおよび EternalBlueを通じて拡散する。
  • VPN接続を作成する。

各モジュールの詳細および脅威存在痕跡(IoC)については、Securelistの記事(英語)をご覧ください。

対策

統計を見ると、今年検知されたTrickbotの大半が米国、オーストラリア、中国、メキシコ、フランスで検知されていることが見て取れます。しかし、その他地域が安全だという意味ではありません。特に、Trickbotの作成者が他のサイバー犯罪者と連携する用意ができていることを考えると、その他地域がTrickbotの脅威と無縁であるとは考えにくいところです。

このトロイの木馬が自社インフラへ侵入するのを防ぐには、インターネット接続するデバイスすべてを高品質のセキュリティソリューションで保護することをお勧めします。これに加え、サイバー脅威を監視するサービスを導入し、企業インフラ内での疑わしいアクティビティを検知するのも良いでしょう。

ヒント