新しいTrickMoトロイの木馬バリアントが検出され、TONネットワークをコマンド&コントロールインフラとして革新的に使用している点が注目されています。攻撃者はSOCKS5トンネルを実装し、感染したAndroidデバイス上にネットワークピボットを作成することで、企業ネットワークへのラテラルムーブメントを容易にします。この組み合わせにより、通信を隠蔽し、検出を回避することが可能となり、新たなセキュリティ戦略を必要とするモバイル攻撃技術の進化を示しています。
SOCKS5トンネルとTON:Androidにおける新たな攻撃経路 🛡️
TrickMoはTONネットワークを利用してコマンド&コントロール通信を偽装し、SOCKS5トンネルがAndroidデバイスを悪意のあるプロキシに変えます。これにより、攻撃者は侵害された端末を介してトラフィックをリダイレクトし、疑われることなく内部ネットワークへのピボットを確立できます。この手法は、非標準的なネットワークプロトコルと分散型チャネルを使用することで従来のブロックを回避し、セキュリティチームはモバイルを重要なベクトルとして考慮したリスク分析とポリシーフレームワークを統合する必要に迫られます。
あなたのAndroidがプロキシに。Netflixを見るためじゃないよ 😅
あなたのスマホがサイバー犯罪者のお気に入りの抜け道になるほど信頼できるものはありませんね。あなたがInstagramをスクロールしている間、TrickMoはあなたのAndroidをSOCKS5トンネルとして使い、攻撃者があなたの会社のネットワークにアクセスできるようにします。最悪なのは、通行料すら払ってくれないことです。つまり、もし電話の動作がいつもより遅いなら、それはバッテリーの問題ではなく、別のボスのために働いているのかもしれません。しかも、社会保険にも加入していません。