最近のTrickbotのAchor_LinuxマルウェアはLinuxシステムとIoTデバイスを標的にしています

最近、ステージ2のセキュリティ研究者であるWaylon Grangeが、TrickbotのAnchorマルウェアプラットフォームがLinuxデバイスに感染するように移植されたことを示す新しいサンプルを発見しました。

Trickbotは、多目的Windowsマルウェアプラットフォームです。情報、パスワードの盗用、Windowsドメインへの侵入、マルウェアの配信など、さまざまな悪意のあるアクティビティに使用されます。攻撃者はこのマルウェアをレンタルし、それを使用してネットワークに侵入し、ネットワークから何かを取得しました。その後、RyukやContiなどのランサムウェアを展開してネットワークのデバイスを暗号化するために使用されました。

2019年の終わりに、SentinelOneとNTTは、DNSを使用してコマンド＆コントロールサーバーと通信するAnchorという新しいTrickbotフレームワークを報告しました。 Anchor_DNSは、価値のある財務情報を備えた高価値で影響の大きいターゲットで使用されます。悪意のある攻撃者は、ランサムウェアの展開や、APTのようなバックドアのようなキャンペーンにそれを使用します。

Advanced IntelのアナリストであるVital Kremezは、Interzer Labsによって発見されたAnchor_Linuxマルウェアを分析し、インストールされると、このマルウェアは次のcrontabエントリを使用して毎分実行するように設定すると述べています。

* / 1 * * * * root [ファイル名]

このマルウェアには、埋め込まれたWindows TrickBot実行可能ファイルも含まれています。 Interzerによると、この埋め込まれたバイナリは、古いTrickbotツールに接続されたコードを持つ新しい軽量のTrickbotマルウェアです。同じネットワーク上のWindowsマシンに感染するために使用されます。 Ambor_linuxはSMBと$ IPCを使用して、埋め込まれたTrickbotマルウェアをコピーし、ネットワーク上のWindowsデバイスに感染します。これに続いて、Anchor_Linuxは、サービスコントロールマネージャーのリモートプロトコルとSMB SVCCTL名前付きパイプを使用して、Windowsサービスとして構成します。

サービスが設定されると、マルウェアはWindowsホスト上で開始されます。実行するコマンドからコマンド制御サーバーに接続します。攻撃者がバックドアを使用して、Windows以外の環境をターゲットにすることもできます。このバックドアは、攻撃者がピボットを同じネットワーク上のWindowsデバイスに変換するために使用されます。

Kremezが言ったように、「マルウェアは、Windowsの悪用のピボットとして使用されるだけでなく、電子メールのフィッシング以外の非標準的な初期の攻撃ベクトルとして使用されるUNIX環境での秘密のバックドア永続化ツールとして機能します。これにより、グループはUNIX環境のサーバーを標的にして感染することができます。 （ルーターなど）、それを使用して企業ネットワークにピボットします。」

ルーター、VPNデバイス、Linuxデバイスで実行されるNASデバイスなどのIoTデバイスでさえ、この最新のAnchor_Linuxマルウェアの標的になる可能性があります。したがって、LinuxシステムとIoTデバイスを適切に保護することが非常に重要です。

Linuxユーザーの場合、Anchor_Linuxは/tmp/anchor.logにログファイルを作成します。したがって、このファイルがシステムに存在する場合は、このマルウェアの存在についてシステムの完全な監査を実行する必要があります。