マルウェア分析:Trickbot from thehackernews.com
security summary
Trickbotは徐々に進化し、さまざまな攻撃グループによってサービスとしてのマルウェア(MaaS)として使用されるようになりました。
次に、侵害時に攻撃者が使用するツールの検出に進みます。
2021年6月以降、グループTA551は、暗号化されたzipを使用してTrickbotマルウェアの配信を開始しました。
最初のシステム侵害が成功した後、Trickbotは、正当なWindows実行可能ファイルを使用してターゲットに関する多くの情報を収集し、システムがActiveDirectoryドメインのメンバーであるかどうかを識別できます。
Trickbot C2へのすべてのリクエストは、次の形式を使用します。
Trickbotはさまざまな脅威アクターによって使用されますが、検出アプローチはその特定の段階のほとんどで同じままです。
コメント