2020年に活動が多く確認されていたTrickBotですが、ここのところは静かだったと思います。
ですが、新しいモジュールを搭載してまた帰ってきてしまいました。
今回新しく搭載が確認されたのは、高速なポートスキャナーのモジュールです。そのポートスキャナーそのものは、マルウエアではなく、普通にgithubで公開されているツールです。masscanです。このツールを内包する形式のモジュールが搭載され、C&Cからパラメータを受け取って感染先の環境で高速に情報収集を行います。
masscanの作者のgithubの説明にはこう説明されています。
”これはインターネット規模のポートスキャナーです。インターネット全体を5分以内にスキャンし、1台のマシンから毎秒1,000万パケットを送信できます。”
信じがたい速度です。
このツールにはいろんな機能があって、スキャン速度を調整することもできます。
で、C&Cから受け取るパラメータの中にはそのスキャン速度を指定するものも含まれているのです。
つまりこの新しいTrickBotは、感染先の環境に応じて高速にも低速にも情報収集活動が可能になった、と言えます。
このようにマルウエアはどんどん更新されてきています。
私たちの環境や対応する仕組みのほうも継続的に改善していくことが必要なのかもしれません。
参考記事(外部リンク):TrickBot Continues Resurgence with Port-Scanning Module
threatpost.com/trickbot-port-scanning-module/163615/
この記事をシェア |
---|