複数ライセンス割引見積
脅威データベース マルウェア PowerModul Implant

PowerModul Implant

マルウェア, バックドアMezoまで
翻訳内容:
日本語

Paper Werewolf(別名GOFFEE)として知られる脅威アクターは、PowerModulと呼ばれる新しいインプラントを使用して、ロシアの組織を標的としています。2024年7月から12月にかけて、彼らの攻撃はマスメディア、通信、建設、政府機関、エネルギー部門など、主要産業に的を絞りました。

執拗な敵:2022年以降のキャンペーン

Paper Werewolfは2022年以降、少なくとも7回の攻撃キャンペーンを実施しています。同グループは一貫して、政府、エネルギー、金融、メディアの各セクターにおける価値の高いターゲットに重点を置いています。

スパイ活動以上のもの:攻撃チェーンにおける破壊的な展開

Paper Werewolf の活動は、従来のサイバースパイ活動の域を超えています。攻撃チェーンには、従業員アカウントのパスワード変更といった破壊的な要素が組み込まれており、データの窃取だけでなく、業務を麻痺させようとする意図が伺えます。

エントリーポイント: フィッシング詐欺と PowerRAT

攻撃は通常、マクロが仕込まれた文書を含むフィッシングメールから始まります。被害者がファイルにアクセスし、マクロを有効にすると、PowerShellベースのリモートアクセス型トロイの木馬「PowerRAT 」が展開されます。このマルウェアは、より高度なペイロードの実行準備を整えます。

カスタムマルウェアアーセナル:PowerTaskel、QwakMyAgent、Owowa

次の段階のペイロードには、Mythicフレームワークに基づくエージェントのカスタムバージョンであるPowerTaskelとQwakMyAgentが含まれることがよくあります。また、悪意のあるIISモジュールであるOwowaというツールは、Webクライアントから入力されたMicrosoft Outlookの認証情報を盗むために使用されます。

新たな感染戦術:RARアーカイブ内の偽装実行ファイル

最新の攻撃では、二重の拡張子(例:*.pdf.exe)を使用してPDFまたはWord文書に偽装した実行ファイルを含む悪意のあるRARアーカイブが特徴的です。実行すると、ユーザーにはおとり文書が表示され、システムはバックグラウンドで静かに感染します。

実行ファイルは実際にはパッチが適用された Windows システム ファイル (explorer.exe など) であり、難読化された Mythic エージェントを含む悪意のあるシェルコードが埋め込まれており、さらに指示を得るために C2 サーバーに接続します。

代替攻撃ルート:PowerModulが主役に

別の方法として、Paper Werewolfはマクロが組み込まれたOfficeドキュメントを含むRARアーカイブを使用します。このドキュメントはPowerModulのドロッパーとして機能します。このPowerShellスクリプトはC2サーバーから追加のスクリプトを実行できるため、多用途のバックドアとして機能します。

ペイロードパレード:スパイ活動と感染のためのツールキット

PowerModulは2024年初頭から使用されており、主にPowerTaskelのダウンロードと実行に使用されています。その他の注目すべきペイロードには以下が含まれます。

  • FlashFileGrabber : フラッシュドライブからファイルを盗み出し、抽出します。
  • FlashFileGrabberOffline : フラッシュ メディア上で特定の拡張子を持つファイルを検索し、後で抽出できるようにローカルに保存します。
  • USB ワーム: PowerModul のコピーをフラッシュ ドライブに感染させて、マルウェアをさらに拡散します。

PowerTaskelの機能:単なるスクリプト実行以上のもの

PowerModulに類似していますが、PowerTaskelはより高機能です。システム情報を含む「チェックイン」メッセージを送信し、C2サーバーからコマンドを実行し、PsExecを使用して権限を昇格できます。あるケースでは、ハードコードされたSMBネットワークパスを使用してリモートシステムからファイルを収集するFolderFileGrabberスクリプトを実行するのが確認されました。

戦術の進化:PowerTaskelからの脱却

Paper Werewolfは初めて、VBAスクリプトを組み込んだ偽造Word文書を初期アクセスに使用しました。最近の調査結果では、同グループがPowerTaskelから離れ、標的ネットワーク内での横方向の移動にバイナリMythicエージェントをますます利用しているという戦術的変化も示されています。

結論:進化する技術による脅威の増大

Paper Werewolf は、その技術を洗練させ、武器庫を拡大し続けています。ロシアの組織に特化していること、破壊的な能力、そして進化する感染戦略が相まって、深刻かつ持続的なサイバー脅威となりつつあります。

トレンド

VoxFlowG USDT エアドロップ メール詐欺

フィッシング, スパム
暗号通貨の台頭に伴い、詐欺師はユーザーを騙してデジタル資産を手放すために、ますます巧妙な手口を編み出しています。そのような詐欺の 1 つが、VoxFlowG USDT エアドロップ メール詐欺です。これは、疑いを持たない個人を餌食にして、無料の Tether (USDT) を約束します。この手口は、被害者の暗号通貨ウォレットから資金を集めることを目的としています。この手口がどのように機能するかを理解することで、ユーザーは同様の脅威を認識し、壊滅的な経済的損失を回避することができます。 誘惑:偽の USDT エアドロップの約束 このキャンペーンの背後にいる詐欺師は、次のような魅力的な件名の...

Chase - 送金処理中、差し引かれますメール詐欺

フィッシング, スパム
インターネットはチャンスと便利さに満ちていますが、サイバー脅威の温床でもあります。詐欺師はユーザーを騙し、機密データを盗み、金融口座を悪用する新しい方法を常に考案しています。そのような手口の 1 つが「チェース - 送金処理中。引き落とします」というメール詐欺で、正当な銀行機関を装って何も知らない被害者を食い物にします。この手口を理解することは、潜在的な金銭的損失を回避し、個人情報を保護する上で非常に重要です。 戦術を暴く:何が起こるのか? この詐欺メール キャンペーンは、受信者を騙して、Chase 銀行口座から 350 ドルの直接送金が処理されていると信じ込ませます。多くの場合、「新し...

Ampention.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
インターネットには、ユーザーを騙して誤解を招くコンテンツに誘導する不正な Web サイトが無数にあります。そのような不正なページの 1 つが Ampention.com です。このサイトは、煩わしいブラウザ通知を促し、ユーザーを他の潜在的に危険なプラットフォームにリダイレクトすることで知られています。これらの通知を放置すると、戦術、マルウェア感染、プライバシー リスクにつながる可能性がありま...

最も見られました

Discord 灰色の画面で立ち往生

問題
69,741
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...

「プリンタドライバが利用できません」エラーを修正する方法

問題
62,916
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
55,170
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...