>> サイバーニュース > Custom Asnarok Trojan Targets Firewalls in Highly Destructive Attacks
サイバーニュース

カスタムAsnarokトロイの木馬は、非常に破壊的な攻撃でファイアウォールを標的にします

非常に経験豊富なハッキンググループが、Asnarokトロイの木馬と呼ばれるマルウェアを使用してネットワークやファイアウォールに侵入することが検出されました, Asnarökとしても知られています.

これは非常に破壊的なものとしてマークされたごく最近の協調攻撃です. トロイの木馬の機能と被害者のネットワークへの被害を分析するために多くの努力が払われてきました.




Asnarokトロイの木馬攻撃: 最初の感染

先週、さまざまなビジネスオーナーからネットワークインフラストラクチャとファイアウォールを保護するために、いくつかの影響の大きい攻撃が行われました。. 調査によると、最初の感染源は 不明なSQLインジェクションのバグ. エクスプロイトが成功した結果、ターゲットネットワークを保護するファイアウォールへの攻撃が開始されます。.

この戦術は、トロイの木馬操作の背後にあるハッカーに関連する2つの非常に重要な仮定を示しています。. 1つ目は、標的はおそらく犯罪グループによって十分に研究されているということです。 — ハッカーは、悪用する方法を学んだ危険なバグを発見したようです。. それを実行するために、彼らはシステムがすべての要件を持っているかどうかをチェックする必要があります: 必要なソフトウェアバージョンを実行しているデータベースサーバーと、悪用される可能性のある接続されたファイアウォール. これはすべて、手動スキャンを開始するか、必要な変数とオプションがロードされた複雑なハッキングツールキットを使用して実行できます。. これはすべて、Asnarokトロイの木馬自体によって行われる可能性もあります。.

トロイの木馬の操作の分析は、SQLインジェクションが実際には既存のデータベースの1つに配置された1行のコードであることを示しています. これにより、データベースは、ファイアウォールベンダーになりすましているため、管理者にとって非常に安全で正当に聞こえるドメイン名でホストされているハッカー制御サーバーからファイルを取得するようになります。. このファイルは、トロイの木馬のインストールと操作を担当する実際のペイロードドロッパーです。. ファイルは、システムによって常に使用されるとは限らないファイルを保存するように設計された一時フォルダーにドロップされます, ユーザーとプロセスによって実行可能になるように変更され、起動します.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/cve-2018-15715-hijack-zoom-conference-sessions/”]CVE-2018-15715: ハッカーはズーム会議セッションを乗っ取ることができます

Asnarokトロイの木馬が解き放たれる: システムへの影響

汚染されたコンピューターでインストールスクリプトがトリガーされるとすぐに、最初のアクションは一連のSQLコマンドを実行することです。. これらは、データベーステーブルに格納されている特定の値を変更または削除するように設計されています, そのうちの1つは、汚染されたデバイスの管理IPアドレスの表示です。. 研究者によると、これは浸透の存在を隠すために行われます.

次に、ペイロードインストーラスクリプトは、同じ一時フォルダからダウンロードして実行される他の2つの別個のスクリプトを起動します。. 彼らの行動は、展開されたファイアウォールの構成を変更することです。, 起動時サービスおよびその他の実行中のアプリケーション. エンジンによって実行される追加のメカニズムは、 永続的なインストール すべてのマルウェアコードの. デバイスが起動するたびに、スクリプトが起動されます. 通常実行中のアプリケーションおよびサービスの一部が停止または変更される場合があります. スクリプトの1つは トロイの木馬の接続を確立する これにより、ハイジャックされたマシンがリモートサーバーに接続され、そこからプログラムがダウンロードされます。. これにより、標準の実行中のソフトウェアに代わるマルウェアファイアウォールが実行されます.

トロイの木馬の行動の結果は次のとおりです。 データの盗難 データベースの内容とマシンシステムデータを含めることができます. 収集された情報は、抽出されたデータに基づいて一意のIDを作成するために使用できます. 完全なAsnarokトロイの木馬分析は、次のデータを乗っ取っているようです: パブリックIPアドレス, ファイアウォールライセンスキー, SQLユーザーアカウント情報, 管理者パスワード, VPNユーザーとポリシー. 収集されたデータは、 tarコマンド 次に、を使用して暗号化されます OpenSSL. 結果のファイルは、トロイの木馬ネットワーク接続を介してハッカーに送信されます.

最初の感染が行われた直後に、ベンダーはすべての脆弱なデバイスにパッチをリリースしました. ファイルが会社から取得されて自動的に適用されるように、ファイアウォールの自動更新を有効にする必要があります. 詳細については, を参照してください 初期報告.

マーティン・ベルトフ

マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します