PowerShell RAT
サイバーセキュリティの研究者は、サイバー犯罪者がドイツの標的に対して利用した新しいRAT(リモートアクセス脅威)を特定しました。このトロイの木馬はPowerShellRATとして追跡されており、ウクライナでの戦争を誘惑として、破損したWebサイトを介して展開されています。
PowerShell RATには、このタイプの脅威に予想される一般的な機能が備わっています。ターゲットシステムに展開されると、関連するデバイスデータの収集を開始します。その名前が示すように、脅威の主な機能は、PowerShellスクリプトコマンドの実行を中心に展開されます。さらに、攻撃者は、侵害されたシステムから選択したファイルを盗み出したり、追加のペイロードを展開したりする可能性があります。これにより、攻撃者は目標に応じてシステム内で機能を拡張できます。追加のトロイの木馬、ランサムウェアの脅威、暗号マイナーなどをダウンロードして実行できます。
PowerShell RATを広めるルアーWebサイトは、ドイツのバーデンヴュルテンベルク州のWebサイトに非常によく似ているように設計されています。攻撃者は、以前は公式サイトに関連付けられていたドメイン-collaboration-bw(dot)deを使用していました。偽のページでは、ユーザーはウクライナでの戦争に関する出来事についての正確な情報を提示されます。このサイトは、訪問者に「2022-Q2-Bedrohungslage-Ukraine.chm.txt」という名前のファイルをダウンロードするように説得しようとします。ファイルを開くと、想定される問題に関する偽のエラーメッセージが表示され、侵害されたスクリプトはバックグラウンドでサイレントに実行されます。スクリプトは、PowerShellRATの感染チェーンを開始します。
