Carbanakハッカーは、悪質なダルマワシマルウェアを使用して米国中のレストランチェーンを攻撃します

Carbanakという名前のハッキンググループは、米国中のレストランチェーンのサーバーに侵入することを使命としています。これらの悪名高いサイバー詐欺師に慣れていない場合は、それらを紹介することが重要です。マルウェア攻撃は、コーディングが不十分なマルウェアを使用して小規模な攻撃を実行する、日常のハッカーだけではありません。いいえ、いいえ、Carbanakは大リーグにいます。このハッキンググループは、2014年にロシアのサイバーセキュリティ会社Kaspersky Labによって最初に検出されました。Carbanakは通常のユーザーではなく、 大手金融機関を対象としています。彼らの攻撃を実行する通常の方法は、電子メールフィッシング詐欺を介することです。彼らの違法行為から生み出された総額を正確に見積もることは難しいが、5億ドルから10億ドルの間のどこかであると信じられている。この情報がCarbanakが関与しているサイバー犯罪の範囲に光を当てているので、問題の攻撃の詳細に取り掛かりましょう。

ダルマワシがどのように感染するか

今日お話ししているフィッシング詐欺は、Proofpointの専門家によって最初に発見されました。彼らは、ワシの品種であるダルマワシにちなんでマルウェアに名前を付けました。すべての始まりは次のとおりです。対象のレストランは、一見無害なメールを受信します。メール自体は疑惑を引き起こさない可能性が高いです-それはGmailまたはOutlookアドレスから送信されます。それはおそらくすでに議論されている小切手に関するものだと主張しています。これには、受信者をだましてこれが実際には小切手であると思わせることを目的としたWord文書が含まれています。ここが危険です-不正な電子メールメッセージに添付されたドキュメントは暗号化されており、ファイルが「Googleドキュメント保護サービス」または「Outlook保護サービス」のいずれかによって保護されていることを示すアラートも含まれています（攻撃者がメッセージの送信に使用したプロバイダー）。ただし、これらの「保護サービス」はどちらも存在せず、被害者をだまして、開こうとしているファイルが正当であると思わせることを目的とした、単純で狡猾なトリックにすぎません。ドキュメントの下部には、人気のあるウイルス対策製品ベンダーのロゴがあります。これらのロゴは、ファイルが信頼できると被害者にさらに説得するために配置されています。ドキュメントは被害者に編集を有効にするように要求し、ユーザーがCarbanakのトリックに陥った場合、ドキュメントは悪意のあるペイロードの展開に進みます。

ダルマワシの攻撃的および防御的能力

Bateleurが被害者のシステムに侵入すると、動作を開始します。この脅威は、検出ツール一式を自由に使用できるため、特に悪質です。 Bateleurは、それがサンドボックス内にあるかどうかを認識することができます。これは、マルウェア研究者が脅威を研究し、脅威と戦うためのツールを開発するために使用する制御された環境です。その場合、Bateleurはそのプロセスを停止し、マルウェアの専門家がそれを分解するのを防ぎます。その巧妙な機能のもう1つは、難読化です。これは、脅威がコードを難読化し、分析をほぼ不可能にする能力です。

ダルマワシの防御能力をリストアップしたので、脅威の攻撃力に入る時が来ました。このトロイの木馬は、被害者のコンピュータ構成と実行中のプロセスに関する重要な情報を盗み出すことができます。これに加えて、リモートの攻撃者がコマンドやPowerShellスクリプトを実行できるようにします。さらに、Bateleurは、コアモジュールを完全に更新し、それ自体をアンインストールすることもできます。このトロイの木馬は、重要と思われるデータのスクリーンショットを撮り、Carbanakの制御サーバーに送信することができます。 Bateleurはパスワードを盗むこともできるようになっていますが、現在のバージョンには、この特定の機能を有効にするために必要な特定のモジュールがありません。ただし、Carbanakが動作するレベルを知っているマルウェアの専門家は、これがまもなくBateleurに追加されることを期待しています。

CarbanakがBateleurを可能な限り侵入できないようにするために講じたすべてのセキュリティ対策を考慮すると、このトロイの木馬は、ソフトウェアを最新の状態に保つことの重要性を認識していない企業や機関に大きな脅威をもたらし続けるようです。日付と評判の良いセキュリティスイートの購入。