複数ライセンス割引見積
脅威データベース マルウェア ヴォルデモートマルウェア

ヴォルデモートマルウェア

マルウェア, バックドアMezoまで
翻訳内容:
日本語

サイバーセキュリティ研究者は、Google Sheets をコマンド アンド コントロール (C2) プラットフォームとして使用する新しいマルウェア キャンペーンを特定しました。

2024 年 8 月に研究者によって検出されたこの攻撃キャンペーンは、ヨーロッパ、アジア、米国の税務当局を装い、世界中の 70 を超える組織を標的にしています。攻撃者は、情報を収集して追加のマルウェアを展開するように設計された Voldemort と呼ばれるカスタム ツールを使用します。

標的となった業界には、保険、航空宇宙、運輸、学術、金融、テクノロジー、工業、医療、自動車、ホスピタリティ、エネルギー、政府、メディア、製造、通信、社会福祉団体などがある。サイバースパイ活動は特定の脅威アクターと関連付けられていないが、これらの攻撃で最大2万通のメールが送信されたと推定されている。

攻撃者が悪用する最初の侵入経路

発見された電子メールは、米国、英国、フランス、ドイツ、イタリア、インド、日本の税務当局からのものだと称しており、受信者に納税申告の更新を通知し、中間ランディング ページに誘導する Google AMP キャッシュ URL をクリックするよう促しています。

このページは、User-Agent 文字列をチェックして、ユーザーのオペレーティング システムが Windows かどうかを判断します。Windows の場合、このページは search-ms: URI プロトコル ハンドラーを使用して、Adobe Acrobat Reader を使用した PDF に偽装した Windows ショートカット (LNK) ファイルを表示し、被害者を騙して開かせようとします。

LNK ファイルが実行されると、PowerShell がトリガーされ、WebDAV 共有 (\library) から Python.exe が実行され、同じサーバー上の別の共有 (\resource) にある Python スクリプトが引数として渡されます。

Voldemort マルウェアが侵害されたシステムに展開される仕組み

この方法により、Python はコンピューターにファイルを保存せずにスクリプトを実行でき、依存関係は WebDAV 共有から直接読み込まれます。

Python スクリプトは、システム情報を収集し、それを Base64 でエンコードされた文字列として攻撃者が管理するドメインに送信するようにプログラムされています。その後、ユーザーにおとりの PDF を表示し、OpenDrive からパスワードで保護された ZIP ファイルをダウンロードします。

ZIP アーカイブには、DLL サイドローディングに対して脆弱な正規の実行可能ファイル「CiscoCollabHost.exe」と、実行可能ファイルによってサイドローディングされる悪意のある DLL ファイル「CiscoSparkLauncher.dll」(Voldemort とも呼ばれる) の 2 つのファイルが含まれています。

Voldemortマルウェアの脅威の機能

Voldemort は C 言語で書かれたカスタム バックドアで、情報収集と次の段階のペイロードの読み込み機能を備えており、マルウェアは C2、データの流出、オペレーターからのコマンドの実行に Google スプレッドシートを使用します。

研究者らは、この活動はAPT(Advanced Persistent Threat)に似ているが、電子犯罪でよく使われる手法を使用しているためサイバー犯罪の特徴も持っていると説明した。

脅威アクターは、ファイル スキーマ URI を悪用して、マルウェアのステージングのために外部のファイル共有リソース (具体的には WebDAV とサーバー メッセージ ブロック (SMB)) にアクセスします。これは、スキーマ「file://」を使用して、脅威となるコンテンツをホストしているリモート サーバーを指すことによって行われます。

このアプローチは、 LatrodectusDarkGateXWor m などの初期アクセス ブローカー (IAB) として機能するマルウェア ファミリの間でますます普及しています。

攻撃者の目的は不明

この有害な攻撃は異常とみなされており、攻撃者は当初、標的を特定のグループに絞る前に、広範囲の潜在的な被害者をターゲットにしていた可能性がある。また、さまざまなレベルの技術的専門知識を持っていると思われる攻撃者が、複数の組織に侵入することを意図していた可能性もあります。

このキャンペーンの多くの側面は典型的なサイバー犯罪活動に似ていますが、未知の目的を達成するためのスパイ活動である可能性が高いと私たちは考えています。このキャンペーンでは、高度で巧妙な戦術といくつかの基本的な手法が組み合わされているため、脅威アクターの能力の評価が複雑になり、最終的な目的を高い信頼性で判断することが困難になっています。

トレンド

インターネットラジオ

望ましくない可能性のあるプログラム, アドウェア, ブラウザハイジャッカー
ますます相互接続が進む世界では、デバイスのセキュリティがこれまで以上に重要になっています。サイバー脅威は進化しており、潜在的に不審なプログラム (PUP) は、プライバシーとセキュリティを侵害する可能性のある、特に欺瞞的なソフトウェア カテゴリです。これらのアプリケーションは、無害なツールを装うことがよくありますが、デジタル エクスペリエンスを深刻に損なう侵入機能を備えています。インターネッ...

AISEARCHS

望ましくない可能性のあるプログラム, ブラウザハイジャッカー
侵入的で信頼できないソフトウェアからデバイスを保護することは、これまで以上に重要です。潜在的に不要なプログラム (PUP) は、無害なツールを装うことがよくありますが、その本当の目的は通常、はるかに有害です。これらのプログラムは、プライバシー、セキュリティ、および全体的なユーザー エクスペリエンスを著しく損なう可能性があります。最近特定されたそのような PUP の 1 つが、AISEARCH...

Styx Stealer

スティーラーズ
サイバーセキュリティ研究者は、既知の脅威アクターによる、新たに発見された非常に強力な攻撃について報告しました。Windows ユーザーをターゲットとするこのマルウェアは、ブラウザーの Cookie、セキュリティ認証情報、インスタント メッセージなど、さまざまなデータを盗むように設計されています。コアとなるマルウェアは以前にも確認されていますが、この最新バージョンは、暗号通貨ウォレットをより効果的に流出させるようにアップグレードされています。 このマルウェアは、今年初めに注目された Phemedrone Stealer の進化版です。Microsoft Windows Defender の...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
83,697
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Msedge.exeとは何ですか?

問題
65,807
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...

「プリンタドライバが利用できません」エラーを修正する方法

問題
64,272
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
読み込んでいます...