マルチライセンス割引
Threat Database Malware WhiskerSpy Backdoor

WhiskerSpy Backdoor

Malware, Advanced Persistent Threat (APT), BackdoorsMezoまで
翻訳内容:
日本語

サイバーセキュリティの研究者は、Earth Kitsune という名前の比較的新しい高度な脅威アクター グループによって展開された、WhiskerSpy として知られる新しいバックドアを発見しました。このグループは、北朝鮮に関心を示した個人を標的にすることで有名になりました。

攻撃を実行するために、Earth Kitsune グループは水飲み場攻撃として知られる方法を利用しました。これは、ターゲットのシステムへのアクセスを取得するための実証済みの効果的な戦術です。この攻撃では、脅威アクターは、ターゲット ユーザーが頻繁にアクセスする Web サイトを特定し、サイトにアクセスしたときに訪問者のデバイスにアクセスできるようにするマルウェアに感染させます。この特定のケースでは、侵害された Web サイトは親北朝鮮の Web サイトであり、北朝鮮に関心のある個人が頻繁にアクセスしています。

セキュリティ研究者は 2019 年から Earth Kitsune の活動を監視しており、昨年末にこの最新のキャンペーンを発見しました。この発見は重要であり、比較的新しい脅威アクターでさえますます高度になり、個人や組織に同様に重大な脅威をもたらしているという事実を浮き彫りにしています。

ウィスカースパイ感染は水飲み場攻撃戦術を使用

侵害された Web サイトでビデオを見ようとする訪問者に、WhiskerSpy バックドアが配信されます。攻撃者は破損したスクリプトを Web サイトに挿入し、表示されたビデオ コンテンツを実行するために必要と思われるビデオ コーデックをインストールするよう訪問者に促します。検出を回避するために、攻撃者は正規のコーデック インストーラーを変更して、被害者のシステムにこれまでに見られなかったバックドアを最終的にロードするようにしました。

研究者によると、脅威アクターは、瀋陽、中国、名古屋、日本、およびブラジルからの IP アドレスを持つ Web サイトへの訪問者のみを標的にしていました。 VPN 接続を使用した水飲み場攻撃のテストにブラジルが使用された疑いがあり、実際の標的は中国と日本の 2 つの都市からの訪問者でした。関連する被害者は、ビデオを見るためにコーデックをインストールするよう促す偽のエラー メッセージを受け取ります。しかし実際には、このコーデックは被害者のコンピューターにシェルコードをインストールする MSI 実行可能ファイルであり、一連の PowerShell コマンドをトリガーして、最終的に WhiskerSpy バックドアを展開しました。

このキャンペーンでは、Earth Kitsune はいくつかの永続化手法を使用して検出されないようにしました。そのような手口の 1 つに、Google Chrome のネイティブ メッセージング ホストの悪用があります。このホストは、Google Chrome Helper と呼ばれる侵害された Google Chrome 拡張機能をインストールしていました。この拡張機能により、ブラウザが起動するたびにペイロードの実行が許可されました。もう 1 つの利用されている手法は、OneDrive ディレクトリに安全でないファイル (偽の「vcruntime140.dll」) をドロップできるようにする、OneDrive のサイドローディングの脆弱性を利用しています。

WhiskerSpy には脅威となる機能の膨大なリストがあります

WhiskerSpy は、Earth Kitsune 攻撃キャンペーンの一部として展開された最後のペイロードです。バックドアは、インタラクティブ シェル、ファイルのダウンロード、アップロード、削除、ファイルの一覧表示、スクリーンショットの取得、実行可能ファイルのロード、プロセスへのシェルコードの挿入など、リモート オペレータにさまざまな機能を提供します。

コマンド アンド コントロール (C2、C&C) サーバーとの通信を維持するために、WhiskerSpy は暗号化に 16 バイトの AES キーを使用します。バックドアは定期的に C2 サーバーに接続してそのステータスに関する最新情報を受信します。サーバーは、シェル コマンドの実行、別のプロセスへのコードの挿入、特定のファイルの抽出、スクリーンショットの撮影など、マルウェアへの指示で応答する場合があります。

研究者は、C2 通信に HTTP の代わりに FTP プロトコルを使用する以前のバージョンの WhiskerSpy を発見しました。この古い亜種は、実行時にデバッガの存在もチェックし、適切なステータス コードを C2 に通知しました。これらの調査結果は、攻撃者が検出を回避し、その有効性を高めるためにツールや技術を適応させ、改良するにつれて、マルウェアが絶え間なく進化していることを浮き彫りにしています。このような脅威から保護するための堅牢で最新のセキュリティ対策の必要性を強調しています。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...