TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

TrickBot (まとめ)

【要点】

◎ 主に英国の銀行サイトをターゲットにするバンキングマルウェア。Emotet と同時に使用されることも多い


【目次】

概要

【辞書】

◆TrickBot (ATT&CK)
https://attack.mitre.org/software/S0266/

【別名】
別名 備考
TrickBot 一般
Totbrick Microsoft
TSPY_TRICKLOAD Trendmicro
【マルウェアの特徴】
項目 内容
発見時期 2016/09
種別 トロイの木馬, スパイウェア
前のマルウェア Dyre
通信に使用するポート 443, 447, 8082
C2通信の暗号化 あり(カスタム暗号化)
プロセスインジェクション svchost.exe
開発言語 C++
関連マルウェア Emotet, Ryuk
【マルウェアのコンフィグ】

◆malware_configs/TrickBot/mcconf_files/ (JR0driguezB)
https://github.com/JR0driguezB/malware_configs/tree/master/TrickBot/mcconf_files

【最新情報】

◆TrickBot Now Uses a Windows 10 UAC Bypass to Evade Detection (BleepingComputer, 2020/01/16 16:00)
https://www.bleepingcomputer.com/news/security/trickbot-now-uses-a-windows-10-uac-bypass-to-evade-detection/
https://malware-log.hatenablog.com/entry/2020/01/16/000000_10

◆TrickBot Now Steals Windows Active Directory Credentials (BleepingComputer, 2020/01/23 16:07)
https://www.bleepingcomputer.com/news/security/trickbot-now-steals-windows-active-directory-credentials/
https://malware-log.hatenablog.com/entry/2020/01/23/000000_8

記事

【ニュース】

■2017年

◆銀行狙う高度なマルウェア「TrickBot」、標的を拡大 (ZDNet, 2017/05/02 17:57)
https://japan.zdnet.com/article/35100671/
http://malware-log.hatenablog.com/entry/2017/05/02/000000

◆「Trickbot」マルウェアが「WannaCry」の手法を模倣、悪質化 (ZDNet, 2017/07/31)
https://japan.zdnet.com/article/35105017/
http://malware-log.hatenablog.com/entry/2017/07/31/000000

◆新たな「Trickbot」マルウェアキャンペーン、本物のような銀行の偽サイトにユーザー誘導 (ZDNet, 2017/08/15 11:13)
https://japan.zdnet.com/article/35105759/
http://malware-log.hatenablog.com/entry/2017/08/15/000000

◆ボットネット「Necurs」、攻撃者にエラーレポート返送--攻撃を「品質向上」か (ZDNet, 2017/10/19)
https://japan.zdnet.com/article/35109036/
http://malware-log.hatenablog.com/entry/2017/10/19/000000_1

■2018年

◆マカフィー脅威レポート、ランサムウェアに続きモバイルマルウェアも急増 (ASCII.jp, 2018/01/17 17:00)
http://ascii.jp/elem/000/001/618/1618763/
http://malware-log.hatenablog.com/entry/2018/01/17/000000_9

◆「Lukitus」「Trickbot」「Emotet」「DragonFly」新たな脅威を生むランサムウエア (@DIME, 2018/01/22)
https://dime.jp/genre/501813/
http://malware-log.hatenablog.com/entry/2018/01/22/000000_1

■2019年

◆TrickBot Banking Trojan Now Steals RDP, VNC, and PuTTY Credentials (BleepingComputer, 2019/02/12 13:28)
https://www.bleepingcomputer.com/news/security/trickbot-banking-trojan-now-steals-rdp-vnc-and-putty-credentials/
http://malware-log.hatenablog.com/entry/2019/02/12/000000_4

◆「TrickBot」マルウェア利用の攻撃、タックスシーズンに企業など狙う--IBM X-Force報告 (ZDNet, 2019/04/09 11:36)
https://japan.zdnet.com/article/35135456/
http://malware-log.hatenablog.com/entry/2019/04/09/000000

◆「Trickbot」の新しい挙動を確認、リダイレクトURLにより検出を回避 (Trendmicro, 2019/05/30)
https://blog.trendmicro.co.jp/archives/21410
https://malware-log.hatenablog.com/entry/2019/05/30/000000_3

◆マルウエア進化。認証情報、金銭的窃取・身代金型マルウエアが急増 (EconomicNews, 2019/06/03 07:35)
http://economic.jp/?p=85395
https://malware-log.hatenablog.com/entry/2019/06/03/000000_4

◆ランサムウェアに屈した地方自治体がIT担当職員を解雇--フロリダ州レイク・シティ (ZDNet, 2019/07/02 11:20)
https://japan.zdnet.com/article/35139315/
https://malware-log.hatenablog.com/entry/2019/07/02/000000_1

◆大規模ボットネットが息を潜めてアップグレード、6月マルウェアランキング (マイナビニュース, 2019/07/11 10:55)
https://news.mynavi.jp/article/20190711-857435/
https://malware-log.hatenablog.com/entry/2019/07/11/000000_1

◆ステルス能力を獲得したTrickBotがメアド2.5億件を搾取してスパムを撒き散らす (TechCrunch, 2019/07/14)
https://jp.techcrunch.com/2019/07/14/%E3%82%B9%E3%83%86%E3%83%AB%E3%82%B9%E8%83%BD%E5%8A%9B%E3%82%92%E7%8D%B2%E5%BE%97%E3%81%97%E3%81%9Ftrickbot%E3%81%8C%E3%83%A1%E3%82%A2%E3%83%892-5%E5%84%84%E4%BB%B6%E3%82%92%E6%90%BE%E5%8F%96%E3%81%97/
https://malware-log.hatenablog.com/entry/2019/07/14/000000_2

◆世界で最も危険なマルウェアTrickBot、2.5億件のメアドに感染 (Forbes, 2019/07/19 07:30)
https://forbesjapan.com/articles/detail/28489
https://malware-log.hatenablog.com/entry/2019/07/19/000000_4

◆「Trickbot」の新しい亜種を確認、難読化されたJavaScriptを利用 (Trendmicro, 2019/08/09)
https://blog.trendmicro.co.jp/archives/22113
https://malware-log.hatenablog.com/entry/2019/08/09/000000_9

◆TrickBot Trojan Getting Ready to Steal OpenSSH and OpenVPN Keys (BleepingComputer, 2019/11/23)
https://www.bleepingcomputer.com/news/security/trickbot-trojan-getting-ready-to-steal-openssh-and-openvpn-keys/
https://malware-log.hatenablog.com/entry/2019/11/23/000000

◆Trickbotがパスワードグラバーモジュールを更新 (UNIT42(Palpalto), 2019/11/24)
https://unit42.paloaltonetworks.jp/trickbot-updates-password-grabber-module/
https://malware-log.hatenablog.com/entry/2019/11/24/000000

◆ランサムウェアの被害を拡大させるマルウェアの“運び屋”「Emotet」の脅威 (クラウドWatch, 2019/12/19 11:53)
https://cloud.watch.impress.co.jp/docs/news/1225418.html
https://malware-log.hatenablog.com/entry/2019/12/19/000000_2

◆ホリデーシーズンはクリスマスパーティー招待を装ったメールに注意 (ASCII.jp, 2019/12/24 18:15)
https://ascii.jp/elem/000/001/998/1998630/
https://malware-log.hatenablog.com/entry/2019/12/24/000000


■2020年

◆TrickBot Now Uses a Windows 10 UAC Bypass to Evade Detection (BleepingComputer, 2020/01/16 16:00)
https://www.bleepingcomputer.com/news/security/trickbot-now-uses-a-windows-10-uac-bypass-to-evade-detection/
https://malware-log.hatenablog.com/entry/2020/01/16/000000_10

◆企業を狙う標的型ランサムウェアに注意--“サイバー衛生”の確保を (ZDNet, 2020/01/17 06:00)
https://japan.zdnet.com/article/35147885/
https://malware-log.hatenablog.com/entry/2020/01/17/000000_2

◆TrickBot Now Steals Windows Active Directory Credentials (BleepingComputer, 2020/01/23 16:07)
https://www.bleepingcomputer.com/news/security/trickbot-now-steals-windows-active-directory-credentials/
https://malware-log.hatenablog.com/entry/2020/01/23/000000_8

◆国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも (Security NEXT, 2020/03/18)
http://www.security-next.com/113281
https://malware-log.hatenablog.com/entry/2020/03/18/000000_3

◆TrickBot Bypasses Online Banking 2FA Protection via Mobile App (BleepingComputer, 2020/03/24 14:26)
https://www.bleepingcomputer.com/news/security/trickbot-bypasses-online-banking-2fa-protection-via-mobile-app/
https://malware-log.hatenablog.com/entry/2020/03/24/000000_7

◆さよならMwormようこそNworm — TrickBot、拡散用モジュールを更新 (UNIT42(Paloalto), 2020/05/28)
https://unit42.paloaltonetworks.jp/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/
https://malware-log.hatenablog.com/entry/2020/05/28/000000_12

◆Bazar backdoor linked to Trickbot banking Trojan campaigns (ZDNet, 2020/07/16 04:00)

サイバー犯罪者は、コロナウイルスのパンデミックを利用して新しいマルウェアを広めています

https://www.zdnet.com/article/new-bazar-backdoor-linked-to-trickbot-banking-trojan-campaigns/
https://malware-log.hatenablog.com/entry/2020/07/16/000000_13

◆Emotet is back and installing TrickBot trojan, researcher warns (Computing, 2020/07/21)

The latest Emotet spam campaign is targeting people in the UK and the US

https://www.computing.co.uk/news/4018024/emotet-installing-trickbot-trojan-researcher-warns
https://malware-log.hatenablog.com/entry/2020/07/21/000000_2

【ブログ】

■2016年

◆Tricks of the Trade: A Deeper Look Into TrickBot’s Machinations (IBM, 2016/11/09)
https://securityintelligence.com/tricks-of-the-trade-a-deeper-look-into-trickbots-machinations/
http://malware-log.hatenablog.com/entry/2017/05/02/000000

■2017年

◆New Version of “Trickbot” Adds Worm Propagation Module (Flashpoint, 2017/07/27)
https://www.flashpoint-intel.com/blog/new-version-trickbot-adds-worm-propagation-module/
http://malware-log.hatenablog.com/entry/2017/07/27/000000_12

◆Banking Trojan TrickBot uses self-spreading like WannaCry (Cognore, 2017/08/03)
https://cognore.wordpress.com/2017/08/03/banking-trojan-trickbot-uses-self-spreading-like-wannacry/
http://malware-log.hatenablog.com/entry/2017/08/03/000000_6

◆バンキングトロージャンTrickbot 予想以上に米銀行をターゲットに (Cyxtera, 2017/08/18)
https://www.easysol.net/jp/post/android-banking-trojan-trickbot
http://malware-log.hatenablog.com/entry/2017/08/18/000000_11

■2018年

◆Smoking Guns - Smoke Loader learned new tricks (Talos, 2018/07/03)
https://blog.talosintelligence.com/2018/07/smoking-guns-smoke-loader-learned-new.html
http://malware-log.hatenablog.com/entry/2018/07/03/000000_4

◆Smoking Gun – Smoke Loader に新たな手口が追加 (Talos(CISCO), 2018/07/11)
https://gblogs.cisco.com/jp/2018/07/talos-smoking-guns-smoke-loader-learned-new/
http://malware-log.hatenablog.com/entry/2018/07/11/000000_6

◆Malware Team Up: Malspam Pushing Emotet + Trickbot (Paloalto, 2018/07/18 05:00)
https://researchcenter.paloaltonetworks.com/2018/07/unit42-malware-team-malspam-pushing-emotet-trickbot/
http://malware-log.hatenablog.com/entry/2018/07/18/000000

◆マルウェアの共闘: EmotetとTrickbotをプッシュするマルスパム (Paloalto, 2018/07/18 05:00)
https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-malware-team-malspam-pushing-emotet-trickbot
http://malware-log.hatenablog.com/entry/2018/07/18/000000_4

◆機能追加を続ける「TrickBot」、POSシステムを狙う新しいモジュールについて解説 (Trendmicro, 2018/12/26)
https://blog.trendmicro.co.jp/archives/20024
http://malware-log.hatenablog.com/entry/2018/12/26/000000_2

■2019年

◆「Trickbot」がリモートデスクトップアプリの認証情報を窃取する機能を追加 (Tendmicro, 2019/02/18)
https://blog.trendmicro.co.jp/archives/20375
http://malware-log.hatenablog.com/entry/2019/02/18/000000_2

◆3つの脅威:EmotetによるTrickBotの展開とTrickBotによるデータの窃取およびRyukの拡散 (CyberReason, 2019/06/25)
https://www.cybereason.co.jp/blog/cyberattack/3613/
https://malware-log.hatenablog.com/entry/2019/06/25/000000_7

◆Wireshark Tutorial: Examining Trickbot Infections (Paloalto, 2019/11/08 06:00)
https://unit42.paloaltonetworks.com/wireshark-tutorial-examining-trickbot-infections/
https://malware-log.hatenablog.com/entry/2019/11/08/000000_2


■2020年

◆Trickbot:入門 (Talos(CISCO), 2020/04/08)
https://gblogs.cisco.com/jp/2020/04/talos-trickbot-primer/
https://malware-log.hatenablog.com/entry/2020/04/08/000000_9

【Twitter】

◆#trickbot
https://twitter.com/hashtag/trickbot

【図表】

f:id:tanigawa:20191219192511p:plain
Emotet(エモテット)によるTRICKBOTのダウンロード
f:id:tanigawa:20191219192658p:plain
Cybereasonのプラットフォームで表示したEmotet(エモテット)のプロセスツリー
f:id:tanigawa:20191219192717p:plain
CMD Emotet(エモテット)ドロッパーの難読化されたコマンドライン
f:id:tanigawa:20191219192734p:plain
PowerShell Emotet(エモテット)ドロッパーの難読化されたコマンドライン
出典: https://www.cybereason.co.jp/blog/cyberattack/3613/

【関連情報】

◆Emotet (まとめ)
https://malware-log.hatenablog.com/entry/Emotet

関連情報

【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆バンキングマルウェア (まとめ)
https://malware-log.hatenablog.com/entry/Banking_Malware


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020