マルチデバイス ライセンス(ボリューム ディスカウント)

地域を変更

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Backdoors More_eggs Malware

More_eggs Malware

Backdoors, MalwareMezoまで
翻訳内容:
日本語

More_eggsマルウェアは、MaaS(Malware-as-a-Service)スキームで提供されている高度なバックドア型トロイの木馬の脅威です。脅威の開発者はGoldenChickensハッカーグループであると考えられており、FIN6、Evilnum、Cobalt Groupなどのクライアントとしていくつかの主要なAPT(Advanced Persistent Threat)グループを引き付けることができました。 More_eggsの悪意のある機能により、脅威はほとんど検出されないままになりますが、特定のハッカーグループは、特定の目標に従ってさまざまな最終段階のマルウェアペイロードをダウンロードすることにより、攻撃をエスカレートできます。

偽の求人メールがMore_eggsバックドアに広がる

more_eggs攻撃キャンペーンの最初の侵害ベクトルは、通常、武器化された添付ファイルを含む標的型のスピアフィッシングメールです。このバックドアの脅威に関連する最新の操作は、eSentireの研究チームによって発見されました。彼らの調査結果によると、これまでのところ正体不明のハッカーグループが、偽の求人で高位の従業員を標的にし始めています。電子メールに添付された悪意のあるzipファイルは、特定のターゲットのLinkedInプロファイルから取得した職位にちなんで名付けられています。たとえば、選択したユーザーの仕事がLinkedInでシニアプロダクトマネージャーとしてリストされている場合、zipファイルは正確な表現を取り、それに「position」を追加します-「SeniorProductManager-position」。アーカイブを開くと、ファイルレスのmore_eggsトロイの木馬のインストールプロセスが開始されます。

攻撃チェーン

more_eggsのインストールプロセスは、複数の段階といくつかの中間ローダーを通過します。最初のステップでは、スピアフィッシングメールを介して配信されたファイルを操作することにより、被害者は実際にmore_eggsトロイの木馬の初期段階であるVenomLNKを実行します。 VenomLNKは、Windows Management Instrumentationを悪用して、TerraLoaderという名前の次のステージのプラグインローダーを有効にします。ターンでは、TerraLoaderは正当なWindowsはcmstpします。regsvr32を処理ハイジャック。バックグラウンドで行われている不正な活動を隠すために、この時点で、脅威は、正当な作業アプリケーションとして表示されるように設計されたおとりのWord文書を被害者に提示します。一方、TerraLoaderは、ターゲットユーザーの移動プロファイルにmsxslをインストールすることでタスクを続行し、Amazon WebServicesからフェッチされたActiveX制御ファイルからTerraPreterという名前の新しいペイロードをロードします。

攻撃の次の段階では、新しく確立されたTerraPreterペイロードが、武器化されたmxsxlのコピーを介してコマンドアンドコントロール(C2、C&C)サーバーにビーコンを送信し始めます。ビーコンは、more_eggsが被害者のシステムに完全に確立され、続行する準備ができていることを脅威アクターに警告します。ハッカーは、ランサムウェアやインフォスティーラーなどの最終段階のペイロードをダウンロードして実行するか、機密性の高いユーザーデータの盗み出しを開始するように脅威に指示できます。

以前のMore_eggsキャンペーン

さまざまな機能と組み合わせたネイティブWindowsプロセスの活用など、more_eggsの検出回避技術は、GoldenChickensがクライアントとしていくつかのATPハッカーグループを引き付けるのに役立ちました。 Infosecの研究者は、バックドアの脅威がFIN6、Evilnum、およびCobaltGroupによって採用されていることを確認しています。ただし、3つすべてが金融セクターの企業を対象としていると説明できますが、その事業はまったく異なります。 FIN6は、後で地下取引プラットフォームで販売されるペイメントカードデータの盗難に特化しています。彼らの主なターゲットは、POS(販売時点情報管理)デバイスとeコマース企業です。一方、Evilnumは、金融テクノロジー企業や株式取引プラットフォームプロバイダーを追いかけています。彼らは、スプレッドシート、顧客リスト、取引操作、およびアカウントの資格情報を盗むことによって、侵入した会社とそのクライアントに関する機密の個人情報を標的にします。 Cobalt Groupは金融会社も対象としており、これまでにいくつかの業務でmore_eggsを使用してきました。

トレンド

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng は、ユーザーの Web ブラウザの検索機能を操作し、検索を望まない検索エンジンにリダイレクトするブラウザ拡張機能の一種です。ブラウザ ハイジャッカーとして知られるこの侵入的なソフトウェアは、ブラウザのデフォルトの検索エンジン設定を変更し、代わりにsafesearcheng.comを使用するように強制します。 Safe Search Eng のようなブラウザ ハ...

MarioLockerランサムウェア

Ransomware
MarioLocker Ransomwareは、最近マルウェアの専門家によって発見された新しいランサムウェアの脅威です。この新しいデータ暗号化トロイの木馬は、人気のあるランサムウェアファミリのいずれにも属していないようです。この種のほとんどの脅威と同様に、MarioLockerランサムウェアはシステムを危険にさらし、一般的なファイルタイプを探し、暗号化アルゴリズムを適用して標的のデータをロッ...

私の壁紙

Browser Hijackers
コンピューター ユーザーは、オンライン エクスペリエンスを向上させるために設計されたさまざまなソフトウェアやアプリケーションに遭遇することがよくあります。ただし、すべてのソフトウェアが善意を持って作成されているわけではなく、完全に安全ではないソフトウェアもあります。そのような例の 1 つは、MyWallPaper として知られるブラウザ ハイジャッカーです。 この記事では、MyWallPap...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,132
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
23,621
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
22,680
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...