Beep Malware

サイバーセキュリティの研究者は、「Beep」として追跡されている脅威的なソフトウェアを発見しました。このマルウェアは、セキュリティ ソフトウェアによる検出と分析に対して高い耐性を持つように、さまざまな機能を備えて設計されています。開発段階にあり、特定の必須コンポーネントが欠けているにもかかわらず、Beep マルウェアには、攻撃者が侵入に成功したデバイスに追加のペイロードをリモートでダウンロードして実行することを許可する機能があります。この脅威に関する詳細は、情報セキュリティの専門家によって公開されたレポートで公開されました。

これにより、攻撃者が機密情報に不正にアクセスし、影響を受けるデバイスを制御できる可能性があるため、Beep は組織や個人にとって非常に懸念される脅威になります。個人や組織は、セキュリティ ソフトウェアを最新の状態に保ち、デバイスでの疑わしいアクティビティの兆候に注意して、このようなマルウェア攻撃を防ぐ必要があります。

Beep マルウェアは、標的の被害者に重大な危険をもたらす可能性があります

Beep は、侵害されたデバイスから機密情報を収集するように設計されています。ドロッパー、インジェクター、ペイロードの 3 つの主要コンポーネントで構成されています。

「big.dll」としても知られるドロッパーは、AphroniaHaimavati と呼ばれる特定の値を持つ新しいレジストリ キーを作成します。この値には、base64 形式でエンコードされた PowerShell スクリプトが含まれています。 PowerShell スクリプトは、デバイス上のスケジュールされたタスクによって 13 分ごとに起動されます。

スクリプトが実行されると、データがダウンロードされ、AphroniaHaimavati.dll という名前のインジェクターに保存されます。インジェクターは、さまざまなアンチデバッグおよびアンチ VM (仮想化) 技術を使用して、「WWAHost.exe」と呼ばれる正当なシステム プロセスにペイロードを挿入します。これは、ホスト上で実行されているセキュリティ ツールからの検出を回避するのに役立つ、プロセス ハロウイングと呼ばれるプロセスを通じて行われます。

プライマリ ペイロードは、侵害されたデバイスからデータを収集し、暗号化する役割を果たします。次に、暗号化されたデータを、ハードコーディングされたコマンド アンド コントロール (C2) サーバーに送信しようとします。分析中、ハードコードされた C2 アドレスはオフラインでしたが、マルウェアは 120 回の試行に失敗した後も接続を試行し続けました。

Beep マルウェアは、検出されないことに重点を置いています

Beep マルウェアは、実行フロー全体に複数の回避技術が実装されていることで知られており、セキュリティ ソフトウェアや情報セキュリティの研究者による検出と分析が困難になっています。これらの手法には、文字列の難読化解除、システム言語チェック、デバッガー検出、アンチ VM およびアンチサンドボックス対策などが含まれます。マルウェアのインジェクター コンポーネントは、いくつかの追加のアンチデバッグ技術と検出回避技術も実装しています。 Beep が回避に重点を置いていることは、現在のところ野生での活動が限られているにもかかわらず、今後の脅威として注意が必要になる可能性があることを示しています。