TrickBot
TrickBot とは何ですか?
TrickBotWIZARD SPIDER 一派が運用するモジュール型バンキングトロイ兼ポストエクスプロイテーション基盤で、Ryuk、Conti、Diavol などのランサムウェア展開につながった。
TrickBot は 2016 年に Dyre の後継として登場し、バンキングトロイから多用途のポストエクスプロイテーション基盤へ急速に進化しました。運営する犯罪クラスター WIZARD SPIDER は、認証情報窃取、ブラウザインジェクション、Active Directory 偵察、SMB 横展開、SOCKS プロキシなどのモジュールを配信しました。TrickBot は Ryuk、Conti、後の Diavol ランサムウェアの主要なローダーであり、2018 年から 2020 年にかけて Emotet 感染と強く結びついていました。2020 年 10 月、Microsoft Defender チームと米サイバー軍が C2 を妨害し、2022 年の Conti 内部リークでは TrickBot 開発者と Conti オペレーションの密接な関係が明らかになりました。コードは後に Bumblebee へ派生しました。
● 例
- 01
TrickBot が感染した経理担当のラップトップからドメイン管理者の認証情報を抜き取り、Conti を展開するオペレーターへ送る。
- 02
インシデント対応チームがドメインコントローラーのメモリ内に TrickBot の pwgrab64 モジュールと Ryuk 部品を同時に発見する。
● よくある質問
TrickBot とは何ですか?
WIZARD SPIDER 一派が運用するモジュール型バンキングトロイ兼ポストエクスプロイテーション基盤で、Ryuk、Conti、Diavol などのランサムウェア展開につながった。 サイバーセキュリティの マルウェア カテゴリに属します。
TrickBot とはどういう意味ですか?
WIZARD SPIDER 一派が運用するモジュール型バンキングトロイ兼ポストエクスプロイテーション基盤で、Ryuk、Conti、Diavol などのランサムウェア展開につながった。
TrickBot はどのように機能しますか?
TrickBot は 2016 年に Dyre の後継として登場し、バンキングトロイから多用途のポストエクスプロイテーション基盤へ急速に進化しました。運営する犯罪クラスター WIZARD SPIDER は、認証情報窃取、ブラウザインジェクション、Active Directory 偵察、SMB 横展開、SOCKS プロキシなどのモジュールを配信しました。TrickBot は Ryuk、Conti、後の Diavol ランサムウェアの主要なローダーであり、2018 年から 2020 年にかけて Emotet 感染と強く結びついていました。2020 年 10 月、Microsoft Defender チームと米サイバー軍が C2 を妨害し、2022 年の Conti 内部リークでは TrickBot 開発者と Conti オペレーションの密接な関係が明らかになりました。コードは後に Bumblebee へ派生しました。
TrickBot からどのように防御しますか?
TrickBot に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
TrickBot の別名は何ですか?
一般的な別名: WIZARD SPIDER, TrickLoader。
● 関連用語
- malware№ 084
バンキングトロイの木馬
オンラインバンキングの認証情報を盗み、不正送金を承認させるよう設計されたマルウェア。Web インジェクト、フォームグラブ、オーバーレイなどを用いる。
- malware№ 954
Ryuk ランサムウェア
2018 年以降 WIZARD SPIDER が運用する標的型ランサムウェアファミリで、TrickBot 経由の侵入により企業・病院・自治体から多額の身代金を奪取した。
- malware№ 377
Emotet
モジュール型バンキングトロイから発展したマルウェア・アズ・ア・サービス型ローダーで、ランサムウェアアフィリエイトに配信を行い、2021 年 1 月に国際法執行で摘発された。
- malware№ 621
ローダ
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。