サイバースパイ活動: ファイルレスマルウェア DownEX が発見される

Bitdefender Labs の専門家は、新しいマルウェア ファミリを発見しました。 DownEx と呼ばれる高度で非常に標的を絞った攻撃は、現在も中央アジアの政府機関を標的としています。 これらの地域で事業を展開している企業も被害を受ける可能性があります。

攻撃者の主な目的は、スパイ行為と情報の漏洩です。 ファイルレス攻撃の悪意のあるコードは、主にメイン メモリ内でのみ実行されるため、検出が困難です。 Python スクリプトを分析し、コマンド アンド コントロール (C2C) サーバーとの通信をリバース エンジニアリングすることで、専門家はマルウェアの XNUMX つの主な機能を特定することができました。これにより、ハッカーは具体的にファイルをスキャンし、ファイルを抽出し、削除することができます。または、影響を受けるシステムの画面内容のスクリーンショットを撮ります。

スパイ活動: 機密データを求めて

キャンペーンの作成者は、拡張子 .pgp (Pretty Good Privacy) や .pem (Privacy Enhanced Mail) などの機密データに特に関心を持っています。 ハッカーは、QuickBooks ログ ファイル (拡張子 .tlg) などの財務データも探します。

キャンペーンに関連付けられたドメインと IP アドレスは新しいものです。 この悪意のあるコードは、以前に知られていたマルウェアとの類似点を示しません。 Bitdefender Labs はこの新しいマルウェア キャンペーンを最初に発見し、「DownEx」と名付けました。

企業に対する標的型攻撃

ハッカーは特に選ばれた被害者をターゲットにします。 元の攻撃ベクトルは明らかではありませんが、おそらくスピア フィッシングとソーシャル エンジニアリングがすべての攻撃の始まりとなります。 ペイロードを表示するために、サイバー犯罪者は、実行可能ファイルを悪意のあるペイロードとして偽装する .docx ファイルを含む古典的でシンプルなアイコンを使用します。 2 番目のペイロードは、侵害されたシステムを CXNUMXC サーバーに接続する悪意のある VBScript コードが埋め込まれた .hta ファイル (ただし、このファイル拡張子はありません) です。 .hta (HTML アプリケーション) ファイルには、Windows オペレーティング システム環境でスタンドアロン アプリケーションとして実行される VBScript、HTML、CSS、または JavaScript コードが含まれています。 その後のサーバーと被害システム間の通信は、検出が困難ですが、Python ベースのバックドア help.py を介して実行されます。

ロシアの背景？ – 州の背景！

使用された指標とテクニックは、俳優のロシアの背景を示す可能性があります。 ただし、これに関しては明確な発言はできません。 外交官の特定の身元とともに使用された文書のメタデータが指標となる可能性があります。

 

同様に、このマルウェアは、主にロシア語圏で配布されている Microsoft 2016 のクラック版を使用しています (「SPecialisST RePack」または「Russian RePack by SPecialiST」)。 バックドアも 28 つの言語で書かれています。 この行為は、ロシアを拠点とする APTXNUMX グループとその Zebrocy バックドアで知られています。 しかし、これらの兆候は十分ではありません。 高度に標的を絞った攻撃の国家的背景は明らかです。 Word 文書のメタデータは、想定される送信者として実際の外交官を示しています。

詳しくは Bitdefender.com をご覧ください

 

---

Bitdefenderについて

Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de

---

 

トピックに関連する記事