別のステルス, スパイ活動に使用されるルートキットバックドアが発見されました. マルウェア, DaxinとBackdoor.Daxinを吹き替え, 強化されたネットワークに対して攻撃を実行することができます, SymantecThreatHunterチームの研究者は述べています.
Daxinバックドアの調査
Daxinは、「中国にリンクされた脅威アクターによって使用されている高度に洗練されたマルウェア」として説明されています。このツールは、これまで見られなかった技術的な複雑さを示してきました, 特定の政府や重要なインフラストラクチャ組織に対する長期的なスパイキャンペーンで使用されています.
Backdoor.Daxinを使用すると、脅威アクターは、中国が戦略的に関心を持っているターゲットに対して高度なデータ収集操作を実行できます。. 実際には, Daxinは中国のAPTに関連する唯一のツールではありません (Advanced Persistent Threat) 俳優, ノートンライフロックがアクセスした感染したコンピュータの一部で発見.
Daxinは正確にどれほど洗練されていますか?
“Daxinは間違いなく、ノートンライフロックの研究者が中国にリンクしたアクターによって使用されているのを見た中で最も先進的なマルウェアです。. その機能と展開された攻撃の性質を考慮する, Daxinは、強化されたターゲットに対して使用するために最適化されているようです, 攻撃者が標的のネットワークに深く潜り込み、疑惑を抱かずにデータを盗み出すことを可能にする,” によると レポート.
著者が (脅威アクター) マルウェアの検出を非常に困難にするために「多大な努力」を費やしました. 通常のネットワークトラフィックに溶け込むことができます, 見えないまま. さらに, 特に、独自のネットワークサービスの開始を回避します, 代わりに、侵害されたシステムですでに実行されている正当なサービスを悪用します.
マルウェアはネットワークトンネリングも可能です, 脅威アクターが、感染したコンピューターからアクセスできる、感染したホスト上の正当なサービスと通信できるようにします。. その他の悪意のある機能には、任意のファイルの読み取りと書き込みが含まれます, 任意のプロセスを開始し、それらと相互作用する, 正当なTCP/IP接続のハイジャック. 侵害されたホストに追加のコンポーネントを展開する機能もあります.
その他の最近発見された洗練されたバックドア
最近発見されたもう1つの高度なバックドアマルウェアは、 SockDetour, 米国を拠点とする防衛請負業者を対象. 研究者はそれをカスタムバックドアとして説明しています, これは、侵入先のシステムからプライマリバックドアが削除された場合のバックアップバックドアとしても機能します。. 分析は、検出が難しいことを示しています, 影響を受けるWindowsサーバーではファイルレスおよびソケットレスモードで動作するため.