複数ライセンス割引見積
脅威データベース マルウェア LoptikModマルウェア

LoptikModマルウェア

マルウェア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

DoNot APTグループによる新たな攻撃キャンペーンが表面化し、LoptikModと呼ばれるステルス性の高い持続型マルウェアが使用されていることが明らかになりました。このツールは、欧州外務省を標的とした標的型攻撃で利用されており、同グループの活動拠点が南アジア以外の地域に移っていることを示唆しています。

影響範囲を拡大している既知の脅威アクター

この攻撃キャンペーンは、APT-C-35、Mint Tempest、Origami Elephant、SECTOR02、Viceroy Tigerなど、様々な別名で知られる高度な持続的脅威(APT)グループであるDoNot Teamとの関連性が指摘されています。このグループの活動は少なくとも2016年に遡り、特に南アジアとヨーロッパにおいて、政府機関、外務省、防衛機関、NGOを標的とした実績が記録されています。

これまで、DoNot APT は、YTY や GEdit などのカスタムビルドのマルウェアを採用しており、スピアフィッシング キャンペーンや悪意のあるドキュメントの添付ファイルを通じて展開されることがよくありました。

ターゲットを誘い込む:入り口としてのフィッシング

攻撃は、正当かつ信頼できるメールであるかのように装った、欺瞞的なフィッシングメールから始まります。Gmailアカウントから送信されたこれらのメッセージは、国防当局者を装い、件名にはイタリア国防武官のバングラデシュ・ダッカ訪問に関する記述が見られます。注目すべきは、これらのメールは「é」などの特殊文字を正しく表示するためにUTF-8エンコードのHTML形式で記述されており、信憑性を高めている点です。

メールに埋め込まれたGoogleドライブのリンクをクリックすると、RARアーカイブがダウンロードされます。このアーカイブには、PDFファイルを模倣するように設計された悪意のある実行ファイルが含まれています。この実行ファイルを開くと、少なくとも2018年からDoNot APTにのみ使用されているリモートアクセス型トロイの木馬(RAT)であるLoptikModの展開が開始されます。

LoptikModマルウェアの内部

LoptikModは実行されると、スケジュールされたタスクを使用してホストシステムに埋め込まれ、永続化されます。その後、リモートコマンドアンドコントロール(C2)サーバーに接続し、様々な悪意のあるアクティビティを実行します。具体的には以下のとおりです。

  • システム情報を攻撃者に送り返す
  • 追加コマンドの受信と実行
  • 追加の悪意のあるモジュールのダウンロード
  • 機密データの流出

LoptikModは、検出を回避し、フォレンジック分析を妨害するために、アンチVM(仮想マシン)技術とASCII難読化を採用しており、セキュリティ研究者による完全な機能の解析を困難にしています。さらに、デバイス上で実行されるインスタンスは常に1つだけであることを保証するため、内部競合を防ぎ、検出の可能性を低減します。

現在のキャンペーン状況とインフラストラクチャ

LoptikMod自体は強力で永続的な攻撃ですが、最近の攻撃に関与したC2サーバーは現在非アクティブです。この非アクティブ状態は、インフラストラクチャが一時的にオフラインになったか、恒久的にシャットダウンされたか、あるいは未発見の新しいサーバーに置き換えられた可能性を示唆しています。

サーバーの非アクティブ状態により、感染したエンドポイントと攻撃者の間で交換されるコマンドとデータを正確に分析する研究者の能力が制限されます。

戦略転換の兆し:欧州のターゲットに焦点

DoNot APTの最新の活動は進化の兆しを示しています。同グループは伝統的に南アジアの利益に焦点を当ててきましたが、今回の最近の活動は、特に南アジアに関連する欧州の外交情報への関心の高まりを示しています。

この変化は、作戦能力の強化と、より野心的な情報収集目標の達成を示唆している可能性が高い。同グループの指導者たちは、西側諸国の外交戦略、防衛政策、そして南アジアに対する国際的な関与に関する洞察を求めているのかもしれない。

重要なポイント

このような攻撃を効果的に軽減するには、組織はまず、たとえメッセージが極めて正当なものに見えても、フィッシング攻撃を見抜くよう従業員を教育する必要があります。また、予期せぬスケジュールタスクや、見慣れないサーバーへの送信接続など、侵害の兆候となる可能性のある異常な動作がないか、システムを継続的に監視することも同様に重要です。

さらに、サンドボックスと行動分析ツールを導入することで、疑わしい実行ファイルが被害をもたらす前に検知・無効化することができます。システムに最新のパッチを適用し、最新の脅威インテリジェンスフィードを組み込むことで、既知の脆弱性に迅速に対処できます。最後に、ネットワークをセグメント化することで、マルウェアの横方向拡散のリスクを大幅に低減し、潜在的な侵害をより効果的に封じ込めることができます。

結論:警戒は不可欠

DoNot APTグループがヨーロッパのサイバースパイ活動においてLoptikModを展開したことは、脅威情勢の進化を如実に物語っています。APTグループはツールを強化し続け、特に重要性の高い外交資産を標的に標的を拡大しているため、組織はサイバーセキュリティ対策において常に警戒を怠らず、積極的に対策を講じる必要があります。

トレンド

Ijony.click

不正なウェブサイト, アドウェア
インフォセックの研究者は、Ijony.click ページがオンライン戦術を実行するためのプラットフォームとしてオペレーターによって使用される不正な Web サイトであることを確認しました。実際、このサイトでは、訪問者をだますために、信頼できる情報セキュリティ ソースから発信されたかのように提示される、多数の偽のセキュリティ警告が表示されていることが観察されています。これらの疑わしいページは、...

Unmatiotorly.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
詐欺師たちは、インターネットユーザーを騙すための新たな手法を絶えず考案しています。こうした手口の多くは、高度なマルウェアに頼るのではなく、ユーザーの信頼感や注意力の低下を悪用します。そのような欺瞞プラットフォームの一つがUnmatiotorly.comです。これは、ユーザーを欺いて煩わしいブラウザ通知を有効にするように設計された不正ウェブサイトです。このサイトの仕組みと、それがもたらすリスク...

モチノキ

望ましくない可能性のあるプログラム
テクノロジーの世界では、利便性には代償が伴うことがよくあります。ブラウザ拡張機能はオンライン エクスペリエンスを向上させることができますが、一見無邪気な外観の下に危険な意図を隠しているものもあります。 IlexAquifolium はその一例です。IlexAquifolium は、不要なプログラム (PUP) とさまざまなサイバー脅威の媒介の両方として機能しながら、便利なツールを装ってユーザ...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
59,521
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
46,898
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
45,974
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...