TSCookieRAT

TSCookieRATは指定搬送ハッカーグループによって日本語標的に対して活用したリモートアクセスの脅威であるBlackTechを。脅迫操作では、餌の電子メールを使用して、標的のユーザーをだまして脅威につながるURLをクリックさせました。 TSCookieRATも最初はPLEAD名で追跡されていましたが、後の分析で2つの間に特定の違いがあることが明らかになったことに注意してください。

キャンペーンで採用されたルアーメールは、文部科学省から送信されたものとされています。電子メールで提供されるURLは、TSCookieRATのローダーコンポーネントを含む暗号化されたDLLファイルをダウンロードします。次に、DLLファイルがロードされ、メモリ上で実行されます。脅威の有害な機能は、キャンペーンのコマンドアンドコントロール(C2、C&C)サーバーから追加のモジュールをフェッチして実行することにより、攻撃の後の段階で拡張されます。すべての後期コンポーネントもメモリ上で実行されます。

TSCookieRATは、脅迫的な操作を開始する準備ができると、HTTP GET要求をC&Cに送信し、着信コマンドを待ちます。この脅威により、攻撃者は感染したシステムに対してかなりのレベルの制御を確立できます。ハッカーは、任意のシェルコマンドを実行し、ドライブやシステム情報を含むデータを盗み出し、ファイルシステムを操作し、最も一般的なWebブラウザ(Chrome、Firefox、Edge、Internet Explorer、Outlook電子メールクライアント)からパスワードなどの機密情報を収集できます。受信したコマンドに応答して収集された結果は、最初のHTTPPOSTリクエストと同じ形式でアップロードされます。

日本のターゲットに対するBlackTech攻撃キャンペーンは継続する可能性があり、さまざまなマルウェアの脅威が関与する可能性があるため、組織はサイバーセキュリティを満足のいくレベルに保ち、ソフトウェアセキュリティパッチを適時に実装する必要があります。

 

トレンド

最も見られました

読み込んでいます...