ランサムウェア運営者がカスタム製造されたデータ流出ツールを導入し、攻撃技術の顕著な進化を示唆しています。
RcloneやMegaSyncなどの一般に利用可能なユーティリティに依存しているほとんどのランサムウェアグループとは異なり、Trigonaアフィリエイトは現在、より高い精度とステルス性を持つ独自ツールを使用して機密データを盗んでいます。
2022年後期から活動しているTrigonaは、ランサムウェア・アズ・ア・サービス(RaaS)プラットフォームとして運営されており、Rhantusとして知られるサイバー犯罪グループと関連しています。カスタムツーリングの導入は、そのアフィリエイト間でより高度な技術的洗練度を示しています。
一般的なツールから遠ざかることは、広く使用されている流出ツールがセキュリティソリューションによってますます検出されるようになっているため、検出回避の取り組みを示唆しています。
この活動は2026年3月に実施された攻撃で観察されました。研究者たちは、攻撃者が以前に見たことのないコマンドラインユーティリティである uploader_client.exe をデプロイしたことに気付きました。これはハードコードされた攻撃者制御サーバーと通信します。
高度なデータ流出機能
カスタムアップローダーの分析により、データ盗難操作中に速度、効率、および回避を改善するために設計された複数の機能が明らかになりました:
- 並列データ転送:このツールはファイルごとに最大5つの同時接続を使用し、攻撃者がバンド幅使用量を最大化し、流出を加速することができます。
- 接続ローテーション:それは約2,048 MBのデータを転送した後、TCP接続を自動的にローテーションし、長時間接続を監視する検出メカニズムを回避するのに役立ちます。
- 選択的データターゲティング:「–exclude-ext」オプションを使用して、攻撃者はビデオやオーディオ形式などの大型で低価値のファイルをスキップし、代わりに機密文書に焦点を当てることができます。
- 組み込み認証:共有認証キーにより、認可されたクライアントのみが攻撃者のサーバーにデータをアップロードできるようになり、盗まれたデータリポジトリが保護されます。
少なくとも1つのインシデントで、攻撃者はネットワークドライブに保存された請求書と高い価値のあるPDFファイルを含むフォルダーを特に標的にしており、財務上機密情報に焦点を当てていることを示しています。
流出ツールをデプロイする前に、攻撃者はセキュリティ防御をオフにするための広範な措置を講じました。彼らはHuorong Network Security Suiteツール「HRSword」をカーネルドライバーサービスとしてインストールし、深いシステムレベルのアクセスを有効にしました。
攻撃で使用された追加のツールには、PCHunter、Gmer、YDark、WKTools、DumpGuard、およびStpProcessMonitorByovdが含まれていました。
これらの多くは脆弱なカーネルドライバーを利用してエンドポイント保護プロセスを終了させました。PowerRunはまた、昇格された特権でツールを実行するために使用され、セキュリティメカニズムがバイパスされたことをさらに確認しました。
カスタムマルウェアへのシフト
攻撃者はAnyDeskを介してリモートアクセスを取得し、MimikatzおよびNirsoftパスワード回復ツールを使用して認資格情報の収集を実施し、ラテラルムーブメント用のブラウザとアプリケーション認資格情報を収集することができました。
カスタム流出ツールの使用は、アフィリエイトが通常確立されたツールキットに依存するランサムウェア操作では比較的まれです。しかし、このシフトは、カスタマイズされたマルウェア開発への成長する傾向を強調しています。
独自のツールを構築するにはより多くのリソースと専門知識が必要ですが、攻撃者に従来の検出システムへの可視性を減らすことで大きな利点を提供します。少なくとも最初は、セキュリティ研究者がそれらを特定および分析するまで、そのようなツールはレーダーの下で動作することができます。
この開発は、既知の指標のみへの依存は新興のカスタム構築脅威を検出するのに十分ではない可能性があるため、組織が行動ベースの検出戦略を採用する必要性を強調しています。
翻訳元: https://gbhackers.com/custom-data-theft-tool/
