ランサムウェア攻撃を分析した結果、Unit 42 は PlugX マルウェアを発見しました。 この亜種は、最初にフロッピー、サム、フラッシュ ドライブなど、接続されているすべての USB リムーバブル メディア デバイスを識別し、次に挿入されたすべてのメディアに感染します。 感染した USB スティックが接続されている場合、感染は接続されているすべての USB デバイスに即座に広がります。
Palo Alto Networks Unit 42 は、ハッカー グループ Black Basta によるランサムウェア攻撃への対応をチームが観察したツールの調査をリリースしました。 調査中に、Palo Alto Networks は、被害者のマシンで興味深いいくつかのツールを特定しました。これには、GootLoader マルウェア、Brute Ratel C4 レッド チーミング ツール、および古い PlugX マルウェア サンプルが含まれます。
マルウェアはすべての USB メディアに感染します
PlugX マルウェアは特に Unit 42 の目を引きました。この亜種は、フロッピー、サム、フラッシュ ドライブなどの接続された USB リムーバブル メディア デバイスや、USB デバイスが後で接続されるその他のシステムに感染するからです。
この PlugX マルウェアは、この投稿の執筆時点で最新の Windows オペレーティング システム (OS) でも機能する新しい手法を使用して、攻撃者のファイルを USB デバイスに隠します。 つまり、悪意のあるファイルは、Unix ライクな (*nix) オペレーティング システムで、または USB デバイスをフォレンジック ツールにマウントすることによってのみ表示できます。
新しい亜種は、感染した Office ファイルを隠します
さらに、Unit 42 は、感染したホストから PlugX マルウェアによって作成された USB デバイスの隠しフォルダーにすべての Adobe PDF および Microsoft Word ドキュメントをコピーする追加機能を備えた、同様の PlugX の亜種を VirusTotal で発見しました。 これらのサンプルの発見は、少なくとも一部の技術に精通した攻撃者にとって、PlugX は依然として進化しており、依然として活発な脅威であることを示しています。
PlugX マルウェアは XNUMX 年以上前から存在しており、過去には中国の APT グループに関連していました。 何年にもわたって、国家からランサムウェア攻撃者まで、他の攻撃者グループがこのマルウェアを採用して展開してきました。
調査結果
- この PlugX 亜種はワーム可能であり、Windows ファイル システムから隠れるような方法で USB デバイスに感染します。 ユーザーは、自分の USB デバイスが感染していることに気付かず、ネットワークからのデータ流出に使用される可能性があります。
- この攻撃で使用される PlugX マルウェアの亜種は、接続されている USB リムーバブル メディア デバイス (フロッピー、サム、フラッシュ ドライブなど) と、USB デバイスが後で接続される追加のシステムに感染します。
- Unit 42 は、USB デバイスに感染し、ホストからすべての Adobe PDF および Microsoft Word ファイルをコピーする、同様の PlugX の亜種を VirusTotal で検出しました。 これらのコピーは、マルウェアによって作成された USB デバイスの隠しフォルダーに配置されます。
- PlugX は、一部の中国系グループだけでなく、複数のサイバー犯罪グループによっても使用されている第 2015 段階のインプラントです。 これは XNUMX 年以上前から存在しており、XNUMX 年の米国政府人事管理局 (OPM) への侵入など、注目を集めたサイバー攻撃で観測されています。
- この PlugX マルウェアの亜種に感染したホストは、感染する新しいリムーバブル USB ドライブを常に探しています。 また、この PlugX マルウェアは、悪意のあるファイルが *nix オペレーティング システムでのみ表示されるようにするか、USB デバイスをフォレンジック ツールにマウントすることによってのみ、USB デバイスに攻撃者のファイルを隠します。 検出を回避するこの機能により、PlugX マルウェアはさらに広がり、盗聴されたネットワークに侵入する可能性があります。
- このケースで使用されている Brute Ratel C4 は、Trend Micro によって以前報告されたものと同じ Badger ペイロード (インプラント) であり、Black Basta ランサムウェア グループにも影響を与えます。
パロアルトネットワークスについて サイバーセキュリティ ソリューションのグローバル リーダーである Palo Alto Networks は、人々や企業の働き方を変革するテクノロジーによって、クラウドベースの未来を形作っています。 私たちの使命は、優先されるサイバーセキュリティ パートナーとなり、私たちのデジタル ライフを保護することです。 人工知能、分析、自動化、およびオーケストレーションにおける最新のブレークスルーを活用した継続的なイノベーションにより、世界最大のセキュリティの課題に対処するお手伝いをします。 統合プラットフォームを提供し、拡大するパートナーのエコシステムを強化することで、クラウド、ネットワーク、モバイル デバイス全体で何万もの企業を保護するリーダーとなっています。 私たちのビジョンは、毎日が以前よりも安全な世界です。