シホスト
香港での抗議行動はかなり長い間続いており、中国政府は忍耐力を失い、いくつかの革新的な技術に頼っているようです。最近、北京が香港の抗議者を標的にするために脅迫行為者を雇っていたことが明らかになりました。標的となった抗議者は、西部出身の法学部学生からのメッセージとしてマスクされた電子メールを受け取ります。メッセージの中で、攻撃者は抗議に興味を持っているふりをし、受信者に「香港抗議を終わらせるための推奨事項」を求めています。攻撃者は、3つのファイルを詐欺メールに添付します。2つの本物のファイルと1つが「」として表示されます。 RTF 'ドキュメントですが、'です。 LNK 'ファイル。この破損したファイルを無害なドキュメントとしてマスキングするには、二重の拡張子を使用します。これは、かなり古くても効果的なトリックです。
画像としてマスクされた「.PNG」ファイルを使用します
'。 LNK 'ファイルはリンクとして機能し、この北京キャンペーンの場合、'。 LNK 'ファイルは、本物の' msiexec.exe 'ファイルにつながります。 '。偽の電子メールに添付されているLNKファイルは、「msiexec.exe」ファイルを実行し、GitHubからファイルをダウンロードする必要があります。問題のファイルは 'のようです。 PNG 'イメージですが、実行可能ファイルとして動作します。この実行可能ファイルは、数百の偽ファイルを生成するために使用されます。その中には、「siHost64」にある初期ペイロードがあります。
能力
%APPDATA%フォルダーには、「siHost64」というPythonスクリプトが含まれます。このスクリプトの目的は次のとおりです。
- Windowsレジストリを改ざんして永続性を獲得します。
- DropBox APIの助けを借りて動作する攻撃者のC&C(コマンド&コントロール)サーバーとの接続を確立します。
- C&Cサーバーを使用して、暗号化されたコマンドを含むファイルを取得します。コマンドを解読すると、脅威はそれらを実行します。これらのアクションの結果は、新しい暗号化されたファイルに保存されます。この脅威は定期的にファイルをC&Cサーバーに流出させます。
本質的に、Sihostの脅威はスパイのツールです。このバックドア型トロイの木馬は、そのオペレータが侵害されたホストから情報を収集し、攻撃者のサーバーに転送できるようにします。
Sihostマルウェアがランダムなユーザーを対象とするものではないことは明らかです。この脅威の感染率は非常に低く、被害者は中国地域にいるようです。そのため、専門家はSihostトロイの木馬がHonk Kongの抗議者のみを対象に開発されたと考えています。この脅威は非常によく発達しており、経験豊富なサイバー犯罪者がSihostバックドアトロイの木馬を作成したことは明らかです。
