TrickBotマルウェアは2016年にリリースされたバンキング系トロイの木馬で、その後発展してモジュール型でマルチフェーズのマルウェアに進化し、以下のような幅広い不正動作が可能となっています。
- 認証情報、データ、個人情報の窃盗
- アカウント権限を昇格させ、侵害したネットワークへのアクセスを拡大
- リモートアクセスを可能にするため、ネットワーク内にバックドアを設置
- 他のマルウェアやランサムウェアのダウンロードとインストールにより二次攻撃を実施(ランサムウェアのRyukやContiが最も一般的)
- ウイルス対策ツールやその他のサイバーセキュリティ対策、たとえばWindows Defenderの無効化
- 検知を回避するために自身を変更
TrickBotが大きな懸念となっている理由は、その性質がモジュール型であることで、ネットワークや環境に特有の弱点を標的にして適応、進化し、それが後続のマルウェアやランサムウェア攻撃で悪用される可能性があります。
2024年版クラウドストライクグローバル脅威レポート
クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。
今すぐダウンロードTrickBotマルウェアの動作
TrickBotマルウェアは進化と適応をすることで有名ですが、キャンペーンの多くは以下のような基本的な攻撃手順をたどります。
- TrickBotマルウェアが感染したリンクや添付の形で標的に送付される。
- 感染したデバイスにダウンロードされると、ユーザーはマクロを有効にするよう促され、それによりTrickBotのバイナリがインストールされる。マルウェアはさまざまなモデルを使用してネットワークに感染し、データを窃盗する。
- 将来の攻撃の準備として、TrickBotのオペレーターがウイルス対策の保護を無効化しようと試みる場合もある。
- 二次的な攻撃の中では、TrickBotはネットワーク内で横方向にマルウェアを展開する可能性があり、これにはServer Message Block (SMB)の脆弱性が悪用されることが多い。
- 後続の攻撃、たとえばRyukランサムウェア攻撃がTrickBotグループから展開される。
- 攻撃者が手動でバックアップファイルやデータのコピーを消去もしくは暗号化する。
- Ryukがシステムデータ全体を暗号化し、ランサムウェア攻撃パスを開始する。
TrickBotマルウェアの症状
残念ながら、TrickBotの感染は隠れて動作するようになっているので、その症状にユーザーが気づくことはほとんどありません。たとえばトラフィックの異常な変化や、海外のドメインやブラックリストに載っているドメインへのアクセス試行などで、ネットワークの管理者が攻撃の兆候に気づく可能性はあります。しかし、最近のクラウド環境やハイブリッドワーク環境が広範に広がり複雑な性質を持っていることと、TrickBotマルウェアの高機能な特性を考えると、TrickBot攻撃の検知は人間に取っては不可能でないとしても非常に難しいものです。
組織では、ネットワークトラフィックやその他のアクティビティをリアルタイムで継続的に監視し、より詳細な調査が必要な疑わしい振る舞いや異常なアクティビティをITチームに警告する、包括的で高度なサイバーセキュリティツールセットを使用して保護する必要があります。
TrickBotマルウェアの歴史
TrickBotは、2016年にバンキング情報搾取ツールとして生まれました。その数年前から活動していたもう1つの非常に効果的な認証情報搾取ツールであるDyrezaといくつかの関係性があると、一般的に考えられています。TrickBotとDyrezaには、コマンド&コントロールサーバーと通信する方法など、運用上も構造上も注目すべき類似点が多数あります。
登場から1年後には、TrickBotは進化してワームモジュールを含むようになりましたが、これは成功したランサムウェア活動であるWannaCryを模倣した模様です。この時点で、作成者はOutlookの認証情報をターゲットとするモジュールも開発したため、数十億とは言わないまでも数百万の企業アカウントが侵害のリスクにさらされました。この開発やさまざまな進化を通じて、TrickBotは機能を拡張し、Cookieやブラウザの履歴などの機密情報の収集機能が加わりました。2018年末には、TrickBotは市場でトップのサイバーセキュリティ脅威の1つと見なされるようになりました。
近年、サイバーセキュリティの専門家は、TrickBotの破壊技術が大幅に進歩し、組織がアクティブな攻撃を検知するのが難しくなっていることに気づきました。
TrickBotは、財務情報を盗んだり、ランサムウェア攻撃のプラットフォームとして機能したりするだけでなく、重要な社会サービスを混乱させたり、民主的なプロセスを弱体化させることにも使用される恐れがあります。最近の米国大統領選挙中に、諜報機関は、このマルウェアが安全で公正な選挙プロセスに脅威をもたらすことを確認しました。
TrickBotに関するクラウドストライクからの最近のニュース
WIZARD SPIDERのアップデート: レジリエント、リアクティブかつ強固: 読む
ここ数か月、WIZARD SPIDERは、TrickBotとBazarLoaderを使用して被害者の環境に侵入し、標的の活動を停止させる試みに反応するなど、手を変え品を変え複数のランサムウェアファミリーを運用して、頑強で集中した犯罪活動を示してきました。
Ryukによるビッグゲームハンティング: 収益を上げているもう1つの標的型ランサムウェア: 読む
WIZARD SPIDERは、2018年8月以来、Ryukランサムウェアを操っている巧妙なサイバー犯罪(eCrime)グループであり、高額な身代金を求めて大規模な組織を標的にしています。「ビッグゲームハンティング」として知られているこの方法論は、WIZARD SPIDERの運用の変化を示しています。このアクターはロシアを拠点とする犯罪グループで、TrickBotバンキングマルウェアの運用で知られていますが、過去は主に電信詐欺を中心に手掛けていました。
TrickBotマルウェアに対する保護
企業組織にとって、TrickBotマルウェアに対する保護の最初のステップは意識を高めることです。ネットワークのトラフィックとアクティビティを十分に監視および分析し、進行中の攻撃を検知することは、人間だけではできないため、さまざまな高度でインテリジェントな予防、検知、対応の機能を通じて組織のネットワーク、エンドポイント、ユーザーを保護する包括的なエンドツーエンドのサイバーセキュリティ戦略を開発することが重要です。
こうしたソリューションは、監視および分析プロセスの主要な側面を自動化し、アクティビティの優先順位付けに役立つよう、リアルタイムのアラートを管理者に提供することが必要です。以下のような内容が含まれます。
- 侵害の兆候(IOC)と攻撃の痕跡(IOA)の監視
- 感染したマシンのネットワークからの隔離
- システムの脆弱性に対処するためのネットワークとソフトウェアアプリケーションの更新とパッチ適用
- 不正な振る舞いや異常なネットワークアクティビティのサイバーセキュリティチームへの警告
また、次のようなサイバーセキュリティのベストプラクティスを通じて、ネットワークの全体的な安全性を確保するための措置を講じる必要があります。以下の内容が含まれます。
- すべてのエンドポイントとユーザーを含むネットワークのエンドツーエンドの可視性の確立
- 最小特権(POLP)の原則に従うこと。これはコンピューターセキュリティで実践される概念で、ユーザーの業務に必要なタスクに基づいて制限されたアクセス権をユーザーに与えるものです。
- 攻撃対象領域を減らすための、エンタープライズネットワーク内のセグメントを分離および隔離するネットワークセグメンテーション戦略の有効化
- 多要素認証(MFA)およびその他のIDセキュリティ手法の実装
TrickBot攻撃は悪意のあるリンクまたは添付ファイルを介して開始されるため、安全で責任あるオンラインでの振る舞いを実践するように従業員を訓練することも重要です。以下のような内容が含まれます。
- 一般的な攻撃手法についてユーザーを教育するためのサイバーセキュリティトレーニングの提供
- 手法に対する警戒を維持するための、フィッシングEメールやソーシャルエンジニアリングキャンペーンの例の定期的な共有
- Eメールが外部ソースから発信されたことを警告するバナーなどの表示の組み込み
- ユーザーにパスワードの定期的な変更を要求し、強力なパスワードが使用されるようにすること
- 自分のデバイスを管理し、他の人に使用させない
