サイバーセキュリティ研究チームは、Pikabot マルウェア ローダーの文字列難読化を自動的に解読できる IDA プラグインを開発しました。コマンドアンドコントロール (C2) サーバーのアドレスを含むバイナリ文字列を暗号化するためにマルウェアが使用するコード難読化技術により、これまで Pikabot の発見と技術分析が困難になっていました。 Pikabot は、2023 年 4 月に Qakbot が敗北した後に有名になり、重大な脅威として浮上しました。その暗号化方法には、AES-CBC と RCXNUMX アルゴリズムを組み合わせた高度な文字列暗号化技術が含まれており、セキュリティ専門家にとって復号化は複雑な作業となっていました。 Zscaler のセキュリティ アナリストがこの度、次の報告書を発表しました。
進化し続けるサイバー脅威の状況において、法執行機関は DarkGate、マルウェア開発者、脅威アクター、フォーラム管理者の摘発において進歩を遂げています。同時に、彼らはコマンドアンドコントロールサーバーをますます制御し、マルウェア配布ネットワークを混乱させています。このダイナミックな環境では、新しいプレーヤーの出現と既存のプレーヤーの適応は偶然ではありません。この進化の最近の例は、脅威アクターが名前を変更し、マルウェア ファミリを変更することを示すモーフィング マルウェアの出現です。 Qbot インフラストラクチャの解体後、サイバー脅威の継続的な進化を反映して、DarkGate の拡散が大幅に増加しました…
Pikabot は、2023 年初頭に初めて出現した、洗練されたモジュール式のバックドア トロイの木馬です。その最も注目すべき機能は、高度な防御回避技術と組み合わせてペイロードを配信するローダーの能力にあります。攻撃者は、コマンド アンド コントロール サーバーを使用してリモートから制御を奪い、シェルコード、DLL、実行可能ファイルの挿入などのさまざまなコマンドを実行できます。 Pikabot の作成者は、サンドボックスや研究環境での自動分析を防ぐために、いくつかの分析防止技術も実装しています。これには、サンドボックス環境の検出方法だけでなく、デバッガ対策技術や VM 対策技術も含まれます。キャンペーンの点では、Pikabot は次のようなものです…
