TrickBotは、Windowsベースのシステムを標的とするC++で書かれた高度なバンキング型トロイの木馬として2016年に登場しました。初期アクセス型トロイの木馬、ステーラー/スパイウェア、リモートアクセス型トロイの木馬（RAT）、ランサムウェアなど、複数のカテゴリに分類される攻撃を行うことができるモジュール型のマルウェア・アーキテクチャへと進化しています。

How does TrickBot work?

TrickBot は通常、スピアフィッシングやドライブバイダウンロードなどのソーシャルエンジニアリングの手口を用いた第一段階のダウンローダー型マルウェアを経由して配信され、被害者に一般的なソフトウェアの海賊版を送りつけてシステムへの初期アクセスを試みます。

TrickBotとは？

サイバーセキュリティ・インフラストラクチャ＆セキュリティ・エージェンシー（CISA）によると、ほぼすべてのハッキングトリックを駆使するマルウェアとして、TrickBotはその名にふさわしく、最重要の脅威となっている。TrickBotは、Windowsベースのシステムを標的とするC++で書かれた高度なバンキング型トロイの木馬として2016年に出現した。その台頭は、ロシア政府との関係が疑われるWizardSpiderとして知られるロシアのサイバー犯罪行為者の悪名高いグループに起因している。

TrickBot は、初期アクセス型トロイの木馬、ステイラー/スパイウェア、リモートアクセス型トロイの木馬 (RAT)、ランサムウェアなど、複数のカテゴリに分類される攻撃が可能なモジュール型マルウェアアーキテクチャに進化しています。TrickBot には、ネットワーク侵入のための堅牢なセカンドステージのポストインフェクション機能が搭載されており、強固に防御された企業ネットワークでさえも横方向にステルス的に移動することができます。

TrickBotは、その広範な機能により、大企業、政府機関、医療施設に対するサイバー攻撃において、スイス軍のナイフのような武器として機能し、RyukやContiランサムウェアを展開する際に選択されるコマンド＆コントロール（C2）マルウェアとなっています。しかし、TrickBotは、一般消費者の家庭用ルーターを侵害するためにも使用されており、脅威行為者グループがグローバルなボットネットを構築することを可能にしています。TrickBotの多様で洗練された機能は、他のマルウェアの追随を許しません。

トリックボット最新ニュース

当社英国、TrickbotとContiのサイバー犯罪ギャング11人を制裁(BleepingComputer)
米英が協力、ランサムウェア集団「Trickbot」のメンバー7人を制裁（The Washington Post紙）
2021年のマルウェアストリーム・トップ11とその阻止方法(BlackBerry ブログ)
TrickBot ギャング、ウクライナを "組織的に "狙うことに重点を移す（The Hacker News）

TrickBotの仕組み

TrickBotは通常、スピアフィッシングやドライブバイダウンロードなどのソーシャルエンジニアリングの手口を用いたファーストステージのダウンローダ型マルウェアによって配信され、被害者に一般的なソフトウェアの海賊版をダウンロードさせることで、システムへの初期アクセスを試みます。TrickBotの第一段階のマルウェアは、難読化されたJavaScriptファイルを実行することが多く、攻撃者が管理するC2サーバーに接続し、TrickBotのプライマリペイロードをダウンロードして実行することで、感染を完了させます。

TrickBot はインターネットブラウザに感染し、ユーザーの活動を受動的に監視し、セッション Cookie、ユーザー名、パスワード、閲覧履歴を盗み出します。また、TrickBot には、ネットワークの列挙やホストの発見、特権の昇格、認証の総当たり、中間者偵察、プロキシ、データの改ざん、横方向の移動、永続化、ランサムウェアの展開などのツールも組み込まれています。操作中、TrickBotは戦略的にC2サーバーを交換し、1つのサーバーがダウンしたりブロックリストに登録されたりした場合に備えて、アクティブなC2 IPアドレスのキャッシュを保持します。

TrickBotのステルス戦術には、SSL/TLS経由でHTTP暗号化接続を使用し、C2活動を通常のWebトラフィックとして隠蔽することや、ファイルレスマルウェアの手法を採用し、セキュリティ製品に発見されないようにメモリ内（memexec）のみで動作することなどがあります。セキュリティ研究者がソースコードを容易に解析できないようにするため、TrickBot は多段階の暗号化ベースの難読化を使用しています。

トリックボット攻撃の兆候

TrickBotがすでにランサムウェアを展開してファイルを読めなくしていない限り、エンドユーザーはTrickBot感染の明らかな兆候に気づくことはありません。しかし、ネットワークアクティビティを監視することで、TrickBotがC2サーバーへの接続を試みたり、インターネットユーザーを悪意のあるWebサイトにリダイレクトしたりする際に、ブロックリストに登録されたIPやドメインへの発信リクエストが明らかになります。

TrickBot のテクニックは高度であり、常に進化しているため、攻撃を検知する最も確実な方法は、EDR（Endpoint Detection and Response）、XDR（Extended Detection and Response）、NIDS/NIPS（Network Intrusion Detection and Prevention）などの高度なセキュリティツールをインストールし、正しく設定することです。

トリックボット攻撃を防ぐには

TrickBot によるサイバー攻撃を効果的に防止するには、組織のサイバーセキュリティのあらゆる側面をカバーするポリシー、管理、手順、およびユーザー意識トレーニングの全範囲を含む、完全な企業サイバーセキュリティプログラムが必要です。以下は、TrickBot による侵害の可能性を低減するための防御策の簡単なリストです。

最新のアイデンティティ・アクセス管理（IAM）ツールの導入
すべてのエンドポイントに高度なエンドポイントセキュリティ製品をインストールおよび設定し、侵害の指標（IOC）を検出し、TrickBot ペイロードの実行をブロックする防御措置を講じる。
デジタル署名された正規ソフトウェアのみがすべてのエンドポイントにインストールされるようにする。
すべてのネットワーク・インフラストラクチャの脆弱性スキャンと侵入テストを定期的に実施し、発見された脆弱性を早急に修正する。
コンテンツ・プロキシを使ってインターネット利用を監視し、ユーザーが不審なサイトや危険なサイトにアクセスするのを制限する。
すべての重要なサービスに多要素認証を導入する
フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書（SOP）を作成する。
社外から送信された電子メールをユーザーに通知するよう、電子メールクライアントを設定する。
Officeアプリケーションが以下のように設定されていることを確認します。 通知なしですべてのマクロを無効にする または デジタル署名されたマクロ以外を無効にする 設定
電子メールクライアントやOfficeアプリケーションで、マルウェアのスキャンが行われていないファイルやVBAマクロを含むファイルなど、不審なコンテキストを警告する警告通知に特に注意してください。

CylanceGUARD マルウェア対策

人間中心のサブスクリプション型24時間365日マネージドXDRサービス、 CylanceGUARD^®CylanceGUARD は、ランサムウェア攻撃を防止・防御するために企業が必要とする専門知識とサポートを提供します。 BlackBerry Cybersecurity ServicesによるAIベースのエンドポイントプロテクション（EPP）と組み合わせています。 CylancePROTECT^®を通じた継続的な認証と分析 CylancePERSONA^™による継続的な認証と分析、そして CylanceOPTICS^®.つまり、CylanceGUARD は、現代の脅威環境から企業を保護するために必要な人材とテクノロジーをビジネスに提供します。

詳細はこちら

TrickBotマルウェア