トロイの木馬のTrickBotがRDPブルートフォース機能を攻撃方法に追加

新しいモジュールは、リモートデスクトップアカウントを乗っ取り、企業リソースにアクセスすることを目的としている。

TrickBotのマルウェアは、(RDP)という新機能を追加した。

BitDefenderによると、このモジュールは主に米国と香港で、通信、教育、金融サービス業界を標的としたキャンペーンに使われてきたという。
RDPは、別のコンピュータまたはサーバへのリモートアクセスを実現するためのMicrosoftのプロトコルであり、トラブルシューティングのテクニカルサポートや在宅勤務の従業員によってよく使用されます。

TrickBotは2016年頃から出回っているマルウェアで、銀行を標的とするトロイの木馬として誕生した。
その後徐々に機能を拡張し、被害者の電子メール、ブラウザ、インストールされたネットワークアプリから認証情報を収集するようになった。
このマルウェアは、スパムをターゲットの電子メールリストに送信したり、新しい検出回避方法を採用したり、 「Emotet」 など他のマルウェアの配信手段として機能するように進化している。
最近では、マルウェアの背後にいるオペレータが、アンチ解析方法を変更したようだ。

BitDefenderによると、最新の拡張モジュール 「rdpScanDll」 は現在も開発中だという。
ブルートフォース攻撃は、攻撃者によって定義され送信された標的のリストに基づいて実行されてきたが、この作戦は「スプレー・アンド・プレー」ではないと同社は述べている。
pScanDllモジュールの分析中に、BitDefenderはターゲットとしたIPのリストのいくつかのアップデートを可視化した―全部で6,000以上のIPアドレスを含んでいた。

「実行ファイルは、プラグインとその設定ファイルを、利用可能なオンラインコマンド&コントロールサーバ(C2型)のいずれかからダウンロードし、実行すべきコマンドを取得するためにプラグインが通信するサーバのリストを含む」 とBitDefenderは水曜日の投稿に書いている。

攻撃の内容

TrickBotはプラグインをロードし、C2と通信して次の移動を決定します。
・C2はモジュールがどのような種類の攻撃を使うべきかを指示する(Check、trybrute、bruteの3つがあります。)。
・どのポートをターゲットにするかをモジュールに指示します(RDPポート3389がデフォルトです。)。
・異なる状況をサーバーに報告する頻度(どのポートがオンラインまたはオフラインで、どのユーザー名/パスワードが機能したか)
・最初のターゲット・リストを使い果たしたときに移動するポート
・どのパスワードとユーザー名をブルートフォース・プロセスで試すかを指定します。

攻撃方法に関しては、チェックモードはターゲットのリスト(/rdp/domainsと/rdp/overの両方)でRDP接続をチェックする必要があります。

BitDefenderの研究者によると、「そのためには、まず頻度を取得し、次にターゲットIPのリストを[C2コマンド]‘/rdp/domains’から取得してチェックし、最後にターゲットIPのリストを[C2コマンド]‘/rdp/over’から取得してチェックします。」という。
「テスト中に、プラグインが/rdp/overからIPリストを繰り返し取得してチェックすることがわかりました。」

この後者の側面は、実際には、一度にターゲットにできる数を制限します。
プラグインがより大きな数でデプロイされている場合、繰り返しチェックによってC2サーバーにリクエストが殺到する可能性があります。

一方、trybruteモードでは、/rdp/domainsコマンドで戻されたターゲットIPのリストに対して総当たり操作が実行され、その後、/rdp/overコマンドで戻されたターゲットIPのリストに対して、「/rdp/名前」コマンドのユーザー名と 「rdp/dict」 コマンドのパスワードを使用して総当たり操作が実行されます。

そして最後に、ブルートモードはまだ開発中のようだ。

「呼び出されていない関数セットの実行可能ファイルに含まれていることに加えて、攻撃モードbruteは壊れているように見える。」と分析している。
「総当たり攻撃モードではユーザー名リストが取得されないため、プラグインはターゲットリストでの認証にnullパスワードとユーザー名を使用します。」

「新しいrdpScanDllモジュールは、これまでのTrickBotトロイの木馬で使われてきた一連のモジュールの中では最新のものかもしれないが、非常に限定されたIPアドレスのリストを使っている点で際立っている。」と分析している。
「モジュールは開発中のようですが、1つの攻撃モードが壊れているようなので、新しいバージョンのrdpScanDllではこれを修正し、新しいものを追加する可能性があります。」

偶然にも、同じ分析でBitDefenderがTrickBot C2の在庫を調べたところ、処理速度が低下している兆候はないことがわかった。
全部で2,926台のC2と、新しいプラグインのダウンロード専用サーバが556台あった。
両方の役割を果たす22のIPもあった。

「インフラストラクチャの動態は、毎月約100の新規IPが追加され、各IPの平均存続期間が約16日であるという大まかな統計で定義できます。」と分析している。「攻撃者はロシアのインフラを好んでいるようだ。」

元記事
https://threatpost.com/trickbot-trojan-rdp-brute-forcing/153915/

—-
TrickBotの進化に注目。
改修されてRDPの接続情報を搾取後、企業内にアクセスを狙っている。
Bitdefenderによると主に米国および香港の通信、教育、金融サービスをターゲットだとか。