最近観察されたTrigonaランサムウェア攻撃は、カスタムコマンドラインツールを使用して、侵害された環境からより速く、より効率的にデータを盗んでいます。
このユーティリティは3月の攻撃で採用され、ギャングアフィリエイトに帰属するもので、通常セキュリティソリューションをトリガーするRcloneやMegaSyncなどの公開されているツールを回避する努力である可能性があります。
サイバーセキュリティ企業Symantecの研究者は、カスタムツールへの転換は、攻撃者が「攻撃の重要な段階の間に低いプロフィールを保つためにプロプライエタリマルウェアに時間と努力を投資している」ことを示す可能性があると考えています。
本日のレポートで、研究者はそのツールが「uploader_client.exe」という名前で、ハードコードされたサーバーアドレスに接続していると述べています。その性能と回避機能は以下の通りです:
- 並列アップロード経由のより速いデータ流出のための、ファイルごとに5つの同時接続をサポート。
- 監視を回避するために、2GBのトラフィック後のTCP接続のローテーション。
- 大型で低価値のメディアファイルを除外した、選別的なファイルタイプ流出のオプション。
- 盗まれたデータへの外部アクセスを制限するための認証キーの使用。
1つのインシデントで、流出ツールはネットワークドライブ上の請求書やPDFなどの高価値文書を盗むために使用されました。
Trigonaランサムウェアは2022年10月に開始された二重勒索操作で、被害者にMonero暗号資産での身代金の支払いを要求していました。
ウクライナのサイバー活動家が2023年10月にTrigona操作を中断し、サーバーをハッキングしてソースコードやデータベースレコードなどの内部データを盗みましたが、Symantecのレポートは脅威行為者が操作を再開したことを示唆しています。
Symantecの最近のTrigona攻撃の観察によると、脅威行為者はHuorong Network Security Suiteツール HRSwordをカーネルドライバサービスとしてインストールしています。
この段階に続いて、セキュリティ関連製品を無効にできる追加ツール(PCHunter、Gmer、YDark、WKTools、DumpGuard、StpProcessMonitorByovdなど)がデプロイされます。
「これらの多くは脆弱なカーネルドライバを活用してエンドポイント保護プロセスを終了した」とSymantecは述べています。
一部のユーティリティはPowerRunで実行されました。これは、アプリ、実行可能ファイル、スクリプトを昇格された権限で起動でき、ユーザーモード保護をバイパスできる製品です。
AnyDeskは侵害されたシステムへの直接的なリモートアクセスに使用され、MimikatzとNirsoftユーティリティは認証情報の盗難とパスワード回復操作のために実行されました。
Symantecは最新のTrigona活動に関連する侵害の指標(IoCs)をレポートの下部に列挙して、これらの攻撃の迅速な検出とブロッキングを支援しています。
Mythosが発見したもの99%がまだパッチが当たっていない。
AIは4つのゼロデイを1つの悪用に連鎖させ、レンダラーとOSサンドボックスの両方を回避しました。新しい悪用の波が来ています。
自動検証サミット(5月12日&14日)で、自動的で文脈に富んだ検証がどのように悪用可能なものを見つけ、コントロールが保持されていることを証明し、修復ループを閉じるかを確認してください。
