Multi-License Discount Quote
脅威データベース Malware GoGra バックドア

GoGra バックドア

Malware, BackdoorsMezoまで
翻訳内容:
日本語

2023 年 11 月、南アジアのメディア組織が、新たに発見された Go ベースのバックドアである GoGra の標的となりました。Go プログラミング言語で記述されたこのマルウェアは、Microsoft Graph API を利用して、Microsoft メール サービスでホストされているコマンド アンド コントロール (C&C) サーバーと通信します。これまでのところ、GoGra がターゲット環境に配信される方法は不明です。特に、GoGra はユーザー名が「FNU LNU」の Outlook アカウントからのメッセージ、特に件名が「Input」で始まるメッセージを読み取るように設計されています。

GoGraはこれまで発見されたマルウェアと類似点がある

メッセージの内容は、特定のキーを使用して、暗号ブロック連鎖 (CBC) モードで AES-256 アルゴリズムを使用して復号化されます。復号化後、コマンドは cmd.exe によって実行されます。結果は暗号化され、「Output」という件名で同じユーザーに送り返されます。GoGra は、コマンド アンド コントロール (C&C) 機能に Graph API を使用するGraphonと呼ばれるカスタム .NET インプラントとの類似性から、 Harvesterと呼ばれる国家レベルのハッキング グループによって開発されたと考えられています。

脅威アクターによる正規のクラウドサービスの悪用が増加

脅威の攻撃者は、秘密を保ち、専用インフラストラクチャに関連するコストを回避するために、合法的なクラウド サービスを悪用するケースが増えています。

この傾向の顕著な例は次のとおりです。

  • Firefly : 東南アジアの軍事組織に対するサイバー攻撃で使用された新しいデータ窃盗ツール。収集されたデータは、ハードコードされた更新トークンを使用して Google ドライブにアップロードされます。
  • Grager : 2024 年 4 月に、台湾、香港、ベトナムの組織を標的とした新しいバックドアが発見されました。このバックドアは、Graph API を介して Microsoft OneDrive でホストされているコマンド アンド コントロール (C&C) サーバーと通信します。このアクティビティは、UNC5330 として知られる中国の脅威アクターと疑われているグループと暫定的に関連しています。
  • MoonTag : 中国語を話す脅威アクターによる、Graph API と対話する機能を備えたバックドア。
  • Onedrivetools : 米国とヨーロッパの IT サービス企業を狙ったバックドア。Graph API を使用して OneDrive 上の C&C サーバーと通信し、コマンドを実行して出力を同じプラットフォームに保存します。

コマンド アンド コントロールにクラウド サービスを使用するのは新しい手法ではありませんが、最近では攻撃者の間で採用が増えています。

バックドア感染の危険性

バックドア マルウェアは、影響を受ける組織やユーザーに次のような重大な危険をもたらします。

  • 不正アクセス: バックドアは、攻撃者にシステムへの隠れたアクセスを提供し、通常の認証メカニズムを回避できるようにします。この不正アクセスにより、機密データや重要なシステムが侵害される可能性があります。
  • データ盗難: 攻撃者はバックドアを使用して、個人データ、知的財産、財務記録などの機密情報を盗み出すことができます。収集されたデータは、個人情報の盗難、企業スパイ活動に使用されたり、ダーク ウェブで販売されたりする可能性があります。
  • システム制御と操作: バックドアがインストールされると、攻撃者は影響を受けるシステムを制御できるようになります。この制御により、コマンドの実行、追加のマルウェアのインストール、システム構成の変更、データの操作が可能になります。
  • ネットワーク侵害: バックドアは、多くの場合、ネットワーク内での横方向の移動を容易にします。攻撃者は、最初の侵害を利用して、接続されたシステム間を横方向に移動することができ、ネットワーク全体に影響を与え、攻撃の範囲を拡大する可能性があります。
  • 業務の中断: バックドア マルウェアは、システム障害を引き起こしたり、重要なファイルを削除または暗号化したり、パフォーマンスの問題を引き起こしたりして、通常の業務を中断させる可能性があります。その結果、業務の停止や経済的損失が発生する可能性があります。
  • スパイ活動と監視: バックドアはスパイ活動に使用され、攻撃者がユーザーのアクティビティ、通信、やり取りを監視および記録できるようになります。この監視によりプライバシーが侵害され、機密情報の漏洩につながる可能性があります。
  • 評判の失墜: バックドア マルウェアの存在は、組織の評判を損ない、顧客の信頼と信用を失うことにつながります。これは、ビジネス関係や市場での地位に長期的な影響を及ぼす可能性があります。
  • 規制および法的結果: 組織は機密データを保護できない場合、法的および規制上の結果に直面する可能性があります。バックドア マルウェアによるデータ侵害は、罰金、法的措置、コンプライアンス問題につながる可能性があります。

要約すると、バックドア マルウェアは、セキュリティ、プライバシー、運用の整合性を危険にさらす可能性のある多面的な脅威をもたらすため、組織とユーザーは強力なセキュリティ対策を採用し、潜在的な侵入に対して警戒を怠らないことが不可欠です。

トレンド

Valorant エラー コード VAN -81

Issue
ゲームは世界を席巻し、没入感あふれる体験と競争的な環境で世界中の何百万人ものプレイヤーを魅了しています。このデジタル革命における傑出したタイトルの 1 つが Valorant です。これは、膨大な数のファンを獲得した非常に人気のオンライン ゲームです。 Valorant エラー コード VAN -81 の紹介 広く称賛されているにもかかわらず、Valorant には問題がないわけではありませ...

クサーチ

望ましくない可能性のあるプログラム, Browser Hijackers
今日のデジタル環境では、侵入的で信頼できない潜在的に不要なプログラム (PUP) からデバイスを保護することがユーザーにとって重要です。これらのプログラムはセキュリティとプライバシーを侵害する可能性があるため、そのリスクを理解し、回避する方法が不可欠です。 PUP を理解する: アドウェアとブラウザハイジャッカーの機能 PUP は、ユーザーがうっかりダウンロードしてインストールしてしまうこと...

LYRA 早期採用詐欺

Phishing, Spam
LYRA アーリー アダプター詐欺は、詐欺師が正規の LYRA ウェブサイト (lyra[.]finance) の偽コピーを作成する欺瞞的な計画です。この偽サイト、register-lyra[.]finance は、疑いを持たない訪問者を騙して暗号通貨資金の損失につながる行動を起こさせることを狙っています。ユーザーは、この詐欺サイトとのやり取りを避けるよう強く勧められています。 連邦取引委員会(FTC)によると、2021年初頭から46,000人以上がさまざまな詐欺により10億ドル以上の仮想通貨を失ったと報告しています。この金額は、報告された損失額の約4分の1に相当し、仮想通貨詐欺が金銭的...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
84,081
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Msedge.exeとは何ですか?

Issue
65,164
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
64,614
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
読み込んでいます...