マルウェア PlugX: USB デバイスを介した拡散

20. 2023。 Februar XNUMX 2月XNUMX
| コメントはありません
B2B サイバー セキュリティ ショート ニュース

投稿を共有する

ランサムウェア攻撃を分析した結果、Unit 42 は PlugX マルウェアを発見しました。 この亜種は、最初にフロッピー、サム、フラッシュ ドライブなど、接続されているすべての USB リムーバブル メディア デバイスを識別し、次に挿入されたすべてのメディアに感染します。 感染した USB スティックが接続されている場合、感染は接続されているすべての USB デバイスに即座に広がります。

Palo Alto Networks Unit 42 は、ハッカー グループ Black Basta によるランサムウェア攻撃への対応をチームが観察したツールの調査をリリースしました。 調査中に、Palo Alto Networks は、被害者のマシンで興味深いいくつかのツールを特定しました。これには、GootLoader マルウェア、Brute Ratel C4 レッド チーミング ツール、および古い PlugX マルウェア サンプルが含まれます。

マルウェアはすべての USB メディアに感染します

PlugX マルウェアは特に Unit 42 の目を引きました。この亜種は、フロッピー、サム、フラッシュ ドライブなどの接続された USB リムーバブル メディア デバイスや、USB デバイスが後で接続されるその他のシステムに感染するからです。

この PlugX マルウェアは、この投稿の執筆時点で最新の Windows オペレーティング システム (OS) でも機能する新しい手法を使用して、攻撃者のファイルを USB デバイスに隠します。 つまり、悪意のあるファイルは、Unix ライクな (*nix) オペレーティング システムで、または USB デバイスをフォレンジック ツールにマウントすることによってのみ表示できます。

新しい亜種は、感染した Office ファイルを隠します

さらに、Unit 42 は、感染したホストから PlugX マルウェアによって作成された USB デバイスの隠しフォルダーにすべての Adob​​e PDF および Microsoft Word ドキュメントをコピーする追加機能を備えた、同様の PlugX の亜種を VirusTotal で発見しました。 これらのサンプルの発見は、少なくとも一部の技術に精通した攻撃者にとって、PlugX は依然として進化しており、依然として活発な脅威であることを示しています。

PlugX マルウェアは XNUMX 年以上前から存在しており、過去には中国の APT グループに関連していました。 何年にもわたって、国家からランサムウェア攻撃者まで、他の攻撃者グループがこのマルウェアを採用して展開してきました。

調査結果

  • この PlugX 亜種はワーム可能であり、Windows ファイル システムから隠れるような方法で USB デバイスに感染します。 ユーザーは、自分の USB デバイスが感染していることに気付かず、ネットワークからのデータ流出に使用される可能性があります。
  • この攻撃で使用される PlugX マルウェアの亜種は、接続されている USB リムーバブル メディア デバイス (フロッピー、サム、フラッシュ ドライブなど) と、USB デバイスが後で接続される追加のシステムに感染します。
  • Unit 42 は、USB デバイスに感染し、ホストからすべての Adob​​e PDF および Microsoft Word ファイルをコピーする、同様の PlugX の亜種を VirusTotal で検出しました。 これらのコピーは、マルウェアによって作成された USB デバイスの隠しフォルダーに配置されます。
  • PlugX は、一部の中国系グループだけでなく、複数のサイバー犯罪グループによっても使用されている第 2015 段階のインプラントです。 これは XNUMX 年以上前から存在しており、XNUMX 年の米国政府人事管理局 (OPM) への侵入など、注目を集めたサイバー攻撃で観測されています。
  • この PlugX マルウェアの亜種に感染したホストは、感染する新しいリムーバブル USB ドライブを常に探しています。 また、この PlugX マルウェアは、悪意のあるファイルが *nix オペレーティング システムでのみ表示されるようにするか、USB デバイスをフォレンジック ツールにマウントすることによってのみ、USB デバイスに攻撃者のファイルを隠します。 検出を回避するこの機能により、PlugX マルウェアはさらに広がり、盗聴されたネットワークに侵入する可能性があります。
  • このケースで使用されている Brute Ratel C4 は、Trend Micro によって以前報告されたものと同じ Badger ペイロード (インプラント) であり、Black Basta ランサムウェア グループにも影響を与えます。
詳しくは PaloAltoNetworks.com をご覧ください

 

パロアルトネットワークスについて

サイバーセキュリティ ソリューションのグローバル リーダーである Palo Alto Networks は、人々や企業の働き方を変革するテクノロジーによって、クラウドベースの未来を形作っています。 私たちの使命は、優先されるサイバーセキュリティ パートナーとなり、私たちのデジタル ライフを保護することです。 人工知能、分析、自動化、およびオーケストレーションにおける最新のブレークスルーを活用した継続的なイノベーションにより、世界最大のセキュリティの課題に対処するお手伝いをします。 統合プラットフォームを提供し、拡大するパートナーのエコシステムを強化することで、クラウド、ネットワーク、モバイル デバイス全体で何万もの企業を保護するリーダーとなっています。 私たちのビジョンは、毎日が以前よりも安全な世界です。

 

トピックに関連する記事

レポート: 世界中でフィッシングが 40% 増加

カスペルスキーの 2023 年のスパムとフィッシングに関する現在のレポートがすべてを物語っています。ドイツのユーザーは次のようなことを求めています。 ➡続きを読む

BSI が Web ブラウザの最低基準を設定

BSI は管理用 Web ブラウザの最低標準を改訂し、バージョン 3.0 を公開しました。それを思い出すことができます ➡続きを読む

欧州企業を狙うステルスマルウェア

ハッカーはステルスマルウェアを使ってヨーロッパ中の多くの企業を攻撃しています。 ESETの研究者は、いわゆるAceCryptor攻撃が劇的に増加していることを報告しました。 ➡続きを読む

IT セキュリティ: LockBit 4.0 の基礎の解除

トレンドマイクロは英国国家犯罪庁(NCA)と協力し、開発中の未公開バージョンを分析した。 ➡続きを読む

Google Workspace 経由の MDR と XDR

カフェ、空港ターミナル、ホームオフィスなど、従業員はさまざまな場所で働いています。ただし、この開発には課題も伴います ➡続きを読む

テスト: エンドポイントおよび個々の PC 用のセキュリティ ソフトウェア

AV-TEST ラボからの最新のテスト結果は、Windows 向けの 16 の確立された保護ソリューションの非常に優れたパフォーマンスを示しています。 ➡続きを読む

FBI:インターネット犯罪報告書、被害額は12,5億ドルと集計 

FBI のインターネット犯罪苦情センター (IC3) は、2023 万人以上からの情報を含む 880.000 年のインターネット犯罪報告書を発表しました。 ➡続きを読む

HeadCrab 2.0 を発見

Redis サーバーに対する HeadCrab キャンペーンは 2021 年から活動を続けており、引き続き新しいバージョンのターゲットへの感染に成功しています。犯罪者のミニブログ ➡続きを読む

ショートニュース
, , , ,