APT アクターの DeathStalker が、ドイツとスイスのユーザーを攻撃します。 アクターのターゲット: 金融および法務部門の企業。 新しいバックドア「PowerPepper」は、さまざまな難読化技術を使用しています。
Advanced Persistent Threat (APT) 攻撃者の DeathStalker は現在、金融および法務部門の企業から機密のビジネス情報を盗むためのハッキング サービスを提供していると考えられています。 Kaspersky の専門家は、攻撃者からの新しい活動を発見し、新しいマルウェアの埋め込みと配布の戦術を発見しました。PowerPepper バックドアは通信チャネルとして DNS over HTTPS を使用して、正当な制御サーバー名クエリの背後に通信を隠します。 さらに、PowerPepper は、ステガノグラフィーなどのさまざまな難読化手法を使用します。
特に中小企業をターゲットに
DeathStalker は非常に珍しい APT プレイヤーです。 このグループは少なくとも 2012 年から活動しており、法律事務所や金融部門の代表者などの中小企業に対してスパイ活動を行っています。 他の APT グループとは異なり、DeathStalker は政治的な動機や、標的となった企業からの金銭的利益を求めているようには見えません。 むしろ、後援者は傭兵として行動し、有料でハッキング サービスを提供します。
Kaspersky の研究者は、バックドア PowerPepper を使用したグループによる新しい悪意のあるキャンペーンを発見しました。 他の DeathStalker マルウェアと同様に、PowerPepper は通常、スピア フィッシング メールを使用して配布され、悪意のあるファイルがメール本文または悪意のあるリンク内に配信されます。 これを行うために、このグループは、国際イベント、CO2 排出に関する規制、またはコロナ パンデミックを利用して、被害者に有害な文書を開かせました。
カモフラージュとしてのステガノグラフィー
主な悪意のあるペイロードは、ステガノグラフィを使用して隠蔽されます。これにより、攻撃者は正当なコンテンツの中にデータを隠すことができます。 PowerPepper の場合、悪意のあるコードは一見普通のシダやピーマンの画像に埋め込まれ (名前については英語の「ペッパー」を参照)、ローダー スクリプトによって抽出されます。 その後、PowerPepper は、ビジネスの機密情報を盗むことを目的とした DeathStalker アクターから受け取ったリモート シェル コマンドの実行を開始します。 マルウェアは、標的のシステム上で任意のシェル コマンドを実行できます。これには、コンピューターのユーザーおよびファイル情報の収集、ネットワーク ファイル共有の閲覧、追加のバイナリのダウンロード、遠隔地へのコンテンツのコピーなどの標準的なデータ偵察コマンドが含まれます。 コマンドは、DNS over HTTPS 通信を使用して制御サーバーから取得されます。これは、正当なサーバー名クエリの背後に悪意のある通信を隠す効果的な方法です。
Kaspersky.com の SecureList の詳細を読む
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。