Multi-License Discount Quote
脅威データベース Malware IDATローダー

IDATローダー

Malware, Advanced Persistent Threat (APT), Trojan DownloaderMezoまで
翻訳内容:
日本語

サイバーセキュリティ研究者は、IDAT Loader として知られるマルウェア ローダーによって促進された、Remcos RAT と呼ばれるウクライナのトロイの木馬に対する脅威として特定された攻撃キャンペーンを発見しました。ウクライナのコンピュータ緊急対応チーム (CERT-UA) は、攻撃者を UAC-0184 (TA544) として追跡し、攻撃の原因を特定しました。

この攻撃は IDAT Loader を使用して実行され、ステガノグラフィーが手法として組み込まれています。ステガノグラフィー、つまり「ステゴ」技術は広く認識されています。ステガノグラフィー技術には、画像、音声ファイル、その他のデジタル コンテンツ内にデータを隠すなど、別の媒体内に情報を隠すことが含まれており、注目を集めることなく秘密のコミュニケーションを可能にします。防御手段を回避する際の彼らの役割を理解することが重要です。

IDAT ローダーは次段階のマルウェア ペイロードの配信を容易にします

IDAT Loader は、Hijack Loader という名前の別のローダー ファミリと類似点があり、数か月にわたってDanaBotSystemBCRedLine Stealerなどのさまざまなペイロードを積極的にデプロイしてきました。このローダーは、フィッシング攻撃を通じてRemcos RATと SystemBC を広めるために、TA544 として特定される脅威アクターによって使用されています。

2024 年 1 月初旬に CERT-UA によって最初に明らかにされたこのフィッシング キャンペーンには、戦争をテーマにしたおとりを使用して感染連鎖を開始することが含まれています。このチェーンは最終的に、埋め込まれたステガノグラフィー PNG を利用して Remcos RAT を見つけて抽出する IDAT Loader の展開につながります。

Remcos RAT はサイバー犯罪キャンペーンによく導入されます

REMCOS RAT は、サイバー犯罪とスパイ活動の両方で広く使用されている、蔓延しているリモート アクセス トロイの木馬です。コンピュータの制御を掌握する機能で知られる REMCOS は、キーストローク、音声、ビデオ、スクリーンショット、システム データを収集すると同時に、追加のマルウェア ペイロードの配信も容易にします。通常、このマルウェアは悪意のある添付ファイルやリンクを含むフィッシングメールを通じて伝播し、RAT のインストールにつながります。特に、REMCOS はマルウェア ローダーを含むさまざまな手段を通じて配布されていることが観察されています。このマルウェアは 2010 年代半ばから悪用されてきました。

REMCOS の実行に成功すると、攻撃者はターゲット システムに対する包括的な制御および監視機能を獲得します。これにより、機密データを長期間にわたって秘密裏に持ち出すことが可能になり、検出を回避できる可能性があります。このような機密情報の利用は、対象によっては、被害者が恐喝に直面したり、企業データが侵害された場合に職を失う可能性があったり、組織データが盗まれたりするリスクを伴います。この盗まれたデータは、大規模で高度な攻撃を組織するために悪用される可能性があり、その結果、影響を受けた組織や個人の生活に重大な、そしておそらく取り返しのつかない損害をもたらす可能性があります。

ウクライナは依然としてロシアと連携したハッカーグループによるサイバー犯罪攻撃の標的となっている

CERT-UAはまた、ウクライナ軍が使用するコンピューターシステムにCookboxバックドアを感染させることを目的とした標的型サイバー攻撃についても警告した。

CERT-UA によると、身元不明の人物が報告書作成に問題があるとして、Signal メッセンジャーを介して「1_ф_5.39-2024.xlsm」という名前の XLS 文書を数人の軍関係者に配布しました。このファイルには、「mob2002.data」という名前の PowerShell スクリプトのダウンロードと実行をトリガーする追加の VBA スクリプトが含まれていました。

GitHub からダウンロードされた PowerShell スクリプトは、OS レジストリにいくつかの変更を加えます。具体的には、base64 でエンコードされたペイロードを「HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache」にドロップし、最終的に Cookbox マルウェアを実行します。 Cookbox は、PowerShell コマンドレットをダウンロードして実行する機能を実装する PowerShell スクリプトです。

ダイナミック DNS サービス (gotdns.ch、myftp.biz など) と Cloudflare Workers は、コマンド アンド コントロール サーバーの操作に利用されます。研究者らが明らかにしたデータによると、UAC-0149として追跡されている記載された活動は、少なくとも2023年秋から継続しているという。

トレンド

ディテファム.co.in

Rogue Websites, Adware, Browser Hijackers
潜在的に有害な Web サイトを調査しているときに、研究者は不正ページ Diftefum.co.in を発見しました。この特定のページは、ブラウザ通知スパムを積極的に宣伝することによって動作します。さらに、Web サイトは訪問者を他のサイトにリダイレクトする可能性があり、多くの場合、その性質は疑わしいものです。ユーザーは通常、不正な広告ネットワークを使用する Web サイトによって開始される...

Lkhy ランサムウェア

Ransomware
Lkhy の詳細な分析により、被害者のデータを暗号化するために特別に作られた危険なマルウェアとしての邪悪な性質が明らかになりました。この特定のカテゴリのマルウェアは、一般にランサムウェアとして知られています。このような脅威の背後にいるオペレーターの主な目的は、侵害されたデバイス上の重要なファイルをロックダウンし、その後、影響を受けるユーザーまたは組織に身代金を要求することです。 Lkhy ラ...

UNIX 検索ブラウザ拡張機能

望ましくない可能性のあるプログラム, Browser Hijackers
情報セキュリティ研究者は、UNIX Search アプリケーションを徹底的に調査した結果、これがブラウザ ハイジャッカーであることを特定しました。このアプリケーションは、unixsearch.com という疑わしい検索エンジンを宣伝しているようです。この拡張機能は、ユーザーのブラウザの設定を変更し、さまざまな種類のデータにアクセスして操作できるようにすることで、ユーザーのブラウザを制御します...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
65,418
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
53,036
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
46,897
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...