MEME#4CHAN として知られる進行中のフィッシング キャンペーンが実際に発見されました, 特殊な攻撃チェーンを使用して、XWorm マルウェアを標的のシステムに配信します。. デン・ウズヴィク, ティム・ペック, Securonix の Oleg Kolesnikov 氏と Securonix の Oleg Kolesnikov 氏は最近、このキャンペーンがミーム満載の PowerShell コードを展開していることを明らかにしました。, 難読化された XWorm ペイロードが続きます.
彼らの調査結果は Elastic Security Labs の調査結果に基づいています。, この報告書では、攻撃者が予約をテーマにしたおとりを利用して、被害者をだまして XWorm を運ぶ悪意のあるドキュメントを開かせることを指摘しています。 エージェントテスラ ペイロード. このキャンペーンは主にドイツにある製造会社と医療クリニックをターゲットとしています。.
フィッシング攻撃を利用して, 攻撃者は、おとりの Microsoft Word 文書を使用して Follina の脆弱性を悪用します。 (CVE-2022-30190) 難読化された PowerShell スクリプトを削除するには.
Follina 脆弱性の詳細
Follina の脆弱性 は、任意のコード実行攻撃に悪用される可能性がある、Microsoft Office の現在修正済みのゼロデイの名前です。. nao_sec 研究チームは、ベラルーシの IP アドレスから VirusTotal にアップロードされた Word ドキュメントを発見した後、この脆弱性を発見しました。. フォリナは 6月にパッチが適用されました 去年に続いて 緩和策.
XWorm 攻撃の詳細
XWorm マルウェア攻撃を実行した攻撃者は中東/インドの背景を持っている可能性があるようです, 使用される PowerShell スクリプトには、というタイトルの変数が含まれているため、 “$チョタブヒーム”, これはインドのアニメーションコメディアドベンチャーテレビシリーズへの言及です.
XWorm は、アンダーグラウンド フォーラムで頻繁に見つかる汎用マルウェアです, 機密情報を吸い上げることを可能にするさまざまな機能を備えています, クリッパーも実行します, DDoS, およびランサムウェアの操作, USB経由で拡散, 追加のマルウェアを投下します. この特定の攻撃手法は、TA558 と同様のアーティファクトを共有します。, これまでホスピタリティ業界をターゲットにしてきた. Microsoft Officeドキュメントではデフォルトでマクロを無効にするというMicrosoftの決定にもかかわらず, この事例は、悪意のある文書ファイルを警戒することが依然として重要であることを証明しています。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: