TrickBot トロイの木馬のオペレーターは Shathak 脅威グループと協力してソフトウェアを配布し、最終的には感染したマシンに Conti ランサムウェアを展開します。
同グループの最近のマルウェア配布キャンペーンを分析したレポートの中で、サイバーリーズンのセキュリティアナリスト、アレクサンダー・ミレンコスキー氏とイーライ・セーラム氏は次のように述べている。長年にわたってTrickBot は常に進化しており、最新バージョンの TrickBot にはマルウェア ロード機能が実装されています。 「TrickBot は、一般的なサイバー犯罪者から国家攻撃者に至るまで、さまざまな脅威攻撃者によって実行される多くの攻撃で重要な役割を果たしてきました。 」
最新の報告書は、独自のマルウェアを配布するためにTrickBotがShathakを含む他のサイバー犯罪組織と提携していることを明らかにした先月のIBM X-Force報告書に基づいている。 Shathak も TA551 というあだ名で追跡されており、世界中のエンド ユーザーを標的とする洗練されたサイバー犯罪者で、マクロが有効になった Office ドキュメントを含むパスワードで保護された ZIP アーカイブを利用してマルウェアの配布者として機能します。
ITG23 または Wizard Spider として知られる TrickBot ギャングは、RaaS (ransomware-as-a-service) モデルを通じて関連会社にマルウェアへのアクセスをリースすることに加えて、Conti ランサムウェアの開発と保守を担当しています。
Shathak が関与する感染チェーンでは、通常、マルウェアを含む Word 文書が埋め込まれたフィッシングメールの送信が行われ、最終的には TrickBot または BazarBackdoor マルウェアの展開につながり、その後、Cobalt Strike ビーコンやランサムウェアを展開するための経路として使用されますが、偵察を行う前に横方向から攻撃されることはありません。移動、資格情報の盗難、データ侵害活動。
Cybereason の研究者らは、セキュリティ侵害後の身代金要求までの平均時間 (TTR) が 2 日であることを観察したと述べました。これは、攻撃者が最初にネットワークにアクセスしてから、脅威者が実際にランサムウェアを展開するまでの時間を表します。
この調査結果は米国が発表したものである。サイバーセキュリティインフラストラクチャーセキュリティ庁 (CISA) と連邦捜査局 (FBI)報告報告書によると、2021年9月の時点で、米国および国際機関に対して少なくとも400件のContiランサムウェア攻撃が発生しています。
Conti ランサムウェアからシステムを保護するために、政府機関は「多要素認証 (MFA) の要求、ネットワークのセグメンテーションの実装、オペレーティング システムとソフトウェアを最新の状態に保つ」など、さまざまな軽減策を導入することを推奨しています。
原文、著者:CNCSO、転載する場合は出典を明記してください:https://cncso.com/jp/trickbot-operator-works-with-shathak-attacher-to-develop-conti-blackmail-software.html
