複数ライセンス割引見積
脅威データベース マルウェア PLAYFULGHOST マルウェア

PLAYFULGHOST マルウェア

マルウェアMezoまで
翻訳内容:
日本語

サイバーセキュリティの専門家は、PLAYFULGHOST と呼ばれる新たな脅威を特定しました。これは、キーロギング、画面および音声キャプチャ、リモート シェル アクセス、ファイル転送または実行機能など、幅広い情報収集機能を備えたバックドアです。

Gh0st RAT とのつながり

PLAYFULGHOST は、2008 年にソース コードが漏洩して広く利用されるようになった有名なリモート管理ツールであるGh0st RATと機能的に類似しています。これは、PLAYFULGHOST の背後にいる脅威アクターが、古いツールの基盤を基にしながら、その機能を拡張するための拡張機能を導入した可能性があることを示唆しています。

初期感染経路

PLAYFULGHOST の背後にいる脅威アクターは、ターゲット システムへの初期アクセスを取得するために複数の手法を採用しています。これには、行動規範関連のテーマや SEO ポイズニング戦術を利用して LetsVPN などの正規の VPN アプリケーションのトロイの木馬バージョンを配布するフィッシング キャンペーンが含まれます。

フィッシング攻撃のシナリオでは、被害者は、誤解を招く「.jpg」拡張子を使用して画像ファイルを装った破損した RAR アーカイブを開くように誘導されます。アーカイブを解凍して実行すると、有害な Windows 実行ファイルがドロップされ、リモート サーバーから PLAYFULGHOST を取得して起動します。

一方、SEO ポイズニングは、何も知らないユーザーを誘惑して、侵害された LetsVPN インストーラーをダウンロードさせるために使用されます。このインストーラーは、実行されると中間ペイロードを展開し、バックドアのコア コンポーネントを取得してアクティブ化します。

高度な回避と実行戦術

PLAYFULGHOST は、検出を逃れ、侵害されたシステムに足場を築くために、さまざまなステルス技術を利用しています。これには、DLL 検索順序のハイジャックや、侵害された DLL を導入して復号化し、バックドアをメモリに挿入する DLL サイドローディングが含まれます。

より複雑な実行方法として、研究者は、2 つの追加ファイル (「h」と「t」) を組み合わせて不正な DLL を生成する Windows ショートカット ファイル (「QQLaunch.lnk」) の使用を観察しました。この DLL は、「curl.exe」の名前変更バージョンを通じてサイドロードされ、バックドアの秘密の展開を確実にします。

持続性とデータ収集

インストールされると、PLAYFULGHOST は複数の手法を使用して感染したシステム上に永続性を確立します。これには、Windows レジストリ (Run キー) の変更、スケジュールされたタスクの作成、Windows スタートアップ フォルダへのエントリの追加、Windows サービスとしての登録などが含まれます。

このバックドアの機能により、キー入力、スクリーンショット、音声録音、クリップボード データ、インストールされているセキュリティ ソフトウェアの詳細、システム メタデータ、QQ アカウントの認証情報など、さまざまな機密情報を収集できます。さらに、キーボードとマウスの入力をブロックしたり、イベント ログを改ざんしたり、クリップボードの内容を消去したりして、ユーザー操作を妨害するコマンドを実行することもできます。

PLAYFULGHOST にはファイル操作機能も備わっており、Sogou、QQ、360 Safety、Firefox、Google Chrome などのアプリケーションからブラウザ キャッシュやプロファイルを消去できます。さらに、Skype、Telegram、QQ などのメッセージング プラットフォームに関連付けられたプロファイルやローカル ストレージを削除することもできます。

追加ツールの導入

PLAYFULGHOST と並行して、脅威アクターが感染したシステムに対する制御を強化するために補助ツールを展開していることが確認されています。これらの中には、よく知られている認証情報ダンプツールであるMimikatzや、特定のレジストリエントリ、ファイル、プロセスを隠すように設計されたルートキットがあります。さらに、脆弱性のあるドライバーの持ち込み (BYOVD) 技術によってセキュリティメカニズムを無効にするために、Terminator と呼ばれるオープンソースユーティリティが導入されています。

少なくとも 1 つの例では、PLAYFULGHOST は、追加された Portable Executable (PE) ペイロードの展開を容易にするシェルコード ベースのメモリ内ドロッパーである BOOSTWAVE 内に埋め込まれています。

ターゲット層の可能性

Sogou、QQ、360 Safety などのアプリケーションに重点が置かれ、LetsVPN がルアーとして使用されていることから、このキャンペーンは主に中国語を話す Windows ユーザーを狙っていると考えられます。ただし、PLAYFULGHOST の高度な機能は、この特定のユーザー層を超えて、より広範囲に悪用される可能性を示唆しています。

トレンド

2025 年のデジタル防御の未来を定義するサイバーセキュリティの 10 大トレンドスクリーンショット

2025 年のデジタル防御の未来を定義するサイバーセキュリティの 10 大トレンド

コンピュータセキュリティ
2025 年が近づくにつれ、サイバーセキュリティの状況は大きな変革を迎えようとしています。EnigmaSoftware.com での包括的な調査と分析に基づき、組織が今後 1 年間に備える必要があるサイバーセキュリティのトレンドのトップ 10 を特定しました。 1. AIを活用したサイバー攻撃 サイバー犯罪者は、攻撃の高度化と規模拡大を図るため、人工知能をますます活用しています。AI 駆動型...

「Iolo - あなたのPCは18個のウイルスに感染しています!」詐欺

フィッシング, スパム
疑わしい Web サイトを閲覧しているときに、「iolo - お使いの PC は 18 個のウイルスに感染しています!」という警告メッセージが表示されることがあります。この手法は、iolo Technologies からの正当な警告を模倣して、デバイスが深刻なリスクにさらされているとユーザーに信じ込ませるものです。ただし、この主張はまったくの虚偽であり、この手口は iolo またはその親会社である RealDefense LLC とは関係ありません。 「iolo - あなたの PC は 18 個のウイルスに感染しています!」詐欺とは何ですか? この戦術は、偽のウイルス警告を使用して、疑い...

MiyaRAT マルウェア

マルウェア, トロイの木馬
サイバー犯罪者は、ますます高度なツールを利用してシステムを侵害し、機密データを盗んでいます。その中でも、MiyaRAT は重大な脅威として浮上しています。C++ で書かれたこのリモート アクセス トロイの木馬 (RAT) は、特にヨーロッパ、中東、アフリカ、アジア太平洋地域の政府、エネルギー、通信、防衛、エンジニアリングの各分野に対する標的型攻撃に使用されています。 MiyaRATとは何です...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
67,133
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

問題
62,626
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
58,870
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...