Cisco Talosによると、TrueBotマルウェアは現在、Active Directory情報を収集しており、大規模なITリソースを持つ企業を標的にしています。さらに、このマルウェアは大規模な組織を標的にすることに加えて、Raspberry RobinマルウェアにバンドルされたNetwrix Auditorという新たな配信方法も試しています。
TrueBotとは何ですか?
TrueBotは、2017年から活発に開発が進められているダウンローダー型マルウェアです。その目的は、システムに感染し、侵入したホストに関する情報を収集して標的のトリアージに役立て、追加のマルウェアを展開することです。ホストに感染し、ファイルをロードして実行する機能に加え、このマルウェアの新バージョンには新たな機能が搭載されています。おそらく検出を回避するため、追加のモジュールやシェルコードをメモリに直接ロードして実行する機能です。
参照:2022年最も危険なランサムウェアグループ(TechRepublic)
収集される情報は、コンピューターとローカル ネットワークの名前、Active Directory の信頼関係、およびスクリーン キャプチャで構成され、これらはすべて攻撃者が制御するコマンド アンド コントロール サーバーに送信されます。
このマルウェアは、Active Directory 情報を収集しても個々のコンピュータではあまり意味がないため、企業環境を攻撃することを目的としています。
TrueBotの2つの新しい配送技術
長らく、TrueBotは主に悪意のあるメールを介して配信されていました。しかし、Cisco Talosの研究者たちは、2つの新たな配信および感染手法を発見し、その存在を明らかにしました。
最初の発見は、企業がIT資産管理に使用している正規のツールであるNetwrix Auditor (CVE-2022-31199) の脆弱性を悪用した後に実行される新しいTrueBotの亜種が見つかったときに行われました。
このツールがインターネット上に直接公開されている事例は多くないため、感染率は低いと考えられます。この脆弱性を悪用することで、攻撃者はNetwrix Auditorのプロセスを介してBITSAdminコマンドラインツールを起動し、TrueBotの新バージョンをダウンロードして実行することができました(図A)。
図A
2つ目は、感染したUSBドライブを介して拡散する別のマルウェア「Raspberry Robin」によるものです。Microsoftによると、このマルウェアは現在、最も活発なマルウェア配信プラットフォームの一つであり、TrueBotを含む複数のペイロードを拡散しています。
Talos の研究者によると、2022 年 10 月には、これら 2 つの新しい配信方法の累積的な使用により、世界中で 1,000 台を超える感染システムからなるボットネットが作成され、特にブラジル、メキシコ、パキスタンのいくつかの国が標的になりました。
参照:2022年の脅威の現状:ランサムウェアは依然として企業に大きな打撃を与えている(TechRepublic)
11月には、リモートデスクトッププロトコル、サーバーメッセージブロックプロトコル、Windowsリモート管理プロトコルなど、インターネット上で複数のサービスを提供するWindowsサーバーのみで構成された2つ目のボットネットが出現しました。これらのサーバーはいずれもNetwrix Auditorインスタンスへのアクセスを提供していなかったため、攻撃経路は現時点では不明です。とはいえ、この2つ目のボットネットは米国の75%を攻撃しました(図B)。
図B
TrueBotの侵害後の活動
このキャンペーンでは、TrueBot によって 2 つのペイロードが配信されます。
一つ目はCobalt Strikeです。これは侵入テスト用に開発されたフレームワークで、正規のセキュリティ専門家とサイバー犯罪者の両方が利用しています。二つ目はGrace/FlawedGraceマルウェアです。これはほぼTA505という脅威アクターによってのみ利用されていることが知られています。ペイロードが起動すると、攻撃者は侵害したネットワーク内でラテラルムーブメントを開始します。
Cisco Talos の研究者は、この攻撃段階で使用された「Teleport」と呼ばれる興味深い未知のコマンドラインツールを発見しました。このツールは、よりステルス性の高い方法でデータ窃取を行うことを目的としていました。Teleport はアップロード速度を制限することで、データ窃取の検知を回避し、企業ネットワークの速度低下を回避します。また、ファイルサイズを制限する機能や、使用後に自身を削除する機能も備えています。さらに、AES とハードコードされたキーで構成される、完全にカスタマイズされた暗号化アルゴリズムを使用しています。
攻撃者が使用した Teleport コマンドを見ると、電子メール ファイル (*.pst、*.ost)、ユーザーの OneDrive の場所にあるファイル、感染したコンピューターのローカル ダウンロード フォルダーなどの興味深いファイルを探していたことがわかります。
TrueBot感染はランサムウェアで終わる
こうした攻撃キャンペーンの結果として起こり得ることの 1 つは、Clop ランサムウェアの感染と、それに続く二重の恐喝です。
参照:ランサムウェア:専門家のためのチートシート(TechRepublic)
攻撃者がネットワーク全体へのアクセスを獲得すると、ネットワークをマッピングし、ネットワーク内を水平方向に移動して目的のシステムにアクセスできるようになります。攻撃者は主要なサーバーやデスクトップのファイルシステムを閲覧し、データベースに接続し、Teleportを使用してデータを収集できます。Cisco Talosによると、攻撃者は多数のシステムで同時にスケジュールされたタスクを作成し、Clopランサムウェアを実行してデータを暗号化することが可能です。
TrueBot の背後にいるのは誰ですか?
TrueBotは、世界中で大規模かつ影響力の大きい攻撃を実行する脅威アクターSilence Groupと関連付けられています。複数の研究者によると、TrueBotとFlawedGraceは同じロシア語話者によって開発され、FlawedGraceは脅威アクターTA505によってほぼ独占的に使用されているとのことです。
Silence GroupがTA505から直接、侵害されたシステムへのアクセスを購入している可能性も考えられます。TA505が以前に拡散したClopランサムウェアの出現は、この関連性をさらに強固なものにしています。
TrueBot の新しいマルウェア配信の脅威から身を守るにはどうすればよいでしょうか?
すべてのオペレーティングシステムと、それらで実行されるソフトウェアを常に最新の状態にし、パッチを適用しておくことをお勧めします。今回の攻撃キャンペーンでは、攻撃者はNetwrix Auditorの脆弱性が公開されてからわずか数週間後に、この脆弱性を悪用するエクスプロイトを使用しました。これは、組織化されたサイバー犯罪者が新たな脆弱性をいかに迅速に利用できるかを示す、もう一つの例です。
次に、ソフトウェアがインターネット上に公開される機会を可能な限り減らすことをお勧めします。インターネットを必要としないソフトウェアやシステムは、インターネットに接続できないようにする必要があります。
また、資格情報の漏洩を防ぐために、インターネットに接続するすべてのシステムに多要素認証を導入することをお勧めします。
ネットワーク接続は注意深く監視する必要があります。接続数が非常に少ないドメインも、接続数が多いドメインと同様に調査する必要があります。また、ドメインではなくIPアドレスへの直接接続は特に分析する必要があります。
最後に、エンドポイントに加えて、特に電子メールとサーバーなど、受信データのすべてのレベルにセキュリティ ソフトウェアを導入する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
