**Trigona**ランサムウェアギャングに起因するとされる最近の攻撃で、カスタムデータ窃取ツールの使用が明らかになりました。3月まで遡って観測されたこのユーティリティは、市販のツールから独自のソリューションへの移行を示唆しています。 ### カスタムツールの詳細 **Symantec**の研究者によると、「uploader_client.exe」と名付けられたこのツールは、ハードコードされたサーバーアドレスに接続し、パフォーマンスの向上と検知回避のために設計されたいくつかの機能を備えています。 * 並列アップロードによる高速なデータ窃取のため、ファイルあたり5つの同時接続をサポート。 * 監視を回避するため、2GBのトラフィック後にTCP接続をローテーション。 * 価値の低い大規模メディアファイルを排除する、選択的なファイルタイプ窃取のオプション。 * 盗まれたデータへの外部からのアクセスを制限するための認証キーの使用。 このカスタムツールは、侵害されたネットワークドライブから請求書やPDFなどの価値の高い文書を窃取しているのが確認されています。 ### Trigonaの復活 2022年10月に最初に登場した**Trigona**は、ダブルエクストーションランサムウェアとして運営されており、Monero暗号通貨での支払いを要求しています。2023年10月にウクライナのサイバー活動家が**Trigona**のサーバーをハッキングしてその活動を妨害しましたが、**Symantec**の最近の発見は、このグループの活動の復活を示唆しています。 ### 侵害後の活動 **Symantec**の観測によると、攻撃者は侵害後に**Huorong Network Security Suite**ツールHRSwordをカーネルドライバサービスとしてインストールします。その後、PCHunter、Gmer、YDark、WKTools、DumpGuard、StpProcessMonitorByovdなどのセキュリティ製品を無効化するツールを展開します。 > 「これらの多くは、脆弱なカーネルドライバを利用してエンドポイント保護プロセスを終了させていました」と**Symantec**は述べています。 PowerRunのようなユーティリティは、特権昇格でアプリケーションを起動するために使用され、ユーザーモードの保護をバイパスします。**AnyDesk**は直接的なリモートアクセスに使用され、**Mimikatz**およびNirsoftユーティリティは認証情報窃取とパスワード回復のために展開されます。 **Symantec**は、これらの攻撃の検知とブロックを支援するために、侵害の兆候（IoCs）を提供しています。