IconDown

世界中の多くのサイバー詐欺師は、標的とするシステムに侵入し、そこに追加のマルウェアを注入するために、トロイの木馬ダウンローダーに依存しています。マルウェア研究者の仕事をより困難にするために、トロイの木馬ダウンローダーを広める行為者は、しばしばコードをかなり難読化し、その作成を無害に思わせます。このようにして、トロイの木馬ダウンローダーは、マルウェア対策ツールとセキュリティチェックによる検出を正常に回避できます。最近、サイバーセキュリティの専門家は、オンラインで被害者を主張する新しいトロイの木馬ダウンローダー– IconDownを発見しました。 IconDownダウンローダーは、BlackTechと呼ばれるハッキンググループの作成と考えられています。

日本の事業をターゲット

BlackTechハッキンググループは、アジアから発信されていると考えられています。ターゲットのほとんどがこの地域にあるからです。マルウェアの専門家はBlackTechグループに注目しており、主にさまざまな業界で活動している日本企業を狙う傾向があることが明らかになりました。 IconDownトロイの木馬ダウンローダーは、その機能を発揮しませんが、BlackTechハッキンググループは、この脅威の目的を難読化する際に興味深い手法を実装しています。この方法はステガノグラフィーと呼ばれます。

ステガノグラフィーを使用して攻撃を実行する

BlackTechハッキンググループは、慎重に調整されたフィッシングメールを使用して、ターゲットホストに侵入したようです。これらの電子メールには破損した添付ドキュメントが含まれており、起動時にIconDown脅威のペイロードの実行をトリガーします。次に、IconDownトロイの木馬ダウンローダーは、セカンダリペイロードを取得します。このペイロードは、ステガノグラフィーを使用して、感染したシステムに植え付けることを目的としています。このダウンローダーは、特定の文字列を含む画像を取得します。これは、攻撃者が必要とするRC4キーとして機能する256バイトのデータを見つけるのに役立ちます。次に、IconDownダウンローダーがイメージファイルから必要とする残りのデータが検索され、Portable Executableファイルに収集されて起動されます。

BlackTechハッキンググループで使用される難読化方法はかなり印象的であり、日本の企業は従業員に未知のソースからの電子メールを開くときは非常に慎重になるよう指示する必要があります。