>> サイバーニュース > ランサムウェアの展開に使用される新しい DarkWatchman RAT トロイの木馬
サイバーニュース

ランサムウェアの展開に使用される新しいDarkWatchmanRATトロイの木馬

DarkWatchman-トロイの木馬-sensorstechforum.jpg
DarkWatchmanは、新しいJavaScriptベースのリモートアクセス型トロイの木馬の名前です。 (ねずみ). 現在, RATは、悪意のある電子メールを介して実際に配布されています. マルウェアはドメイン生成アルゴリズムを使用します (DGA) そのコマンドアンドコントロールを識別するための技術 (C2) インフラストラクチャー. また、ファイルレスの永続性を実現するために斬新なトリックを使用しています, オンシステムアクティビティ, 自己更新や再コンパイルなどの動的なランタイム機能, Prevailionの敵対的防諜チームによると.




DarkWatchmanリモートアクセストロイの木馬: 技術的な詳細

DarkWatchmanは現在、悪意のある電子メールキャンペーンで拡散しています. その配布は、ファイルレスマルウェア技術に依存しています, 一時および永続的なストレージにレジストリを使用する場所. 言い換えると, マルウェアはディスクに何も書き込みません, ほとんどのセキュリティソフトウェアでは、その検出がほぼ不可能になっています. 研究者は、マルウェアが使用するDGAメカニズムのリバースエンジニアリングに成功しました, 動的分析を実行し、Webベースのインフラストラクチャを調査します.

チームが分析した電子メールの1つに、次の件名が含まれていました – 「無料ストレージの有効期限の通知」–「ponyexpress」からのものであるかのように表示されるように設計されています[.]ru」. メールの本文はロシア語で書かれていました.

「特に, それは参照しました (悪意のある) アタッチメント, 無料ストレージの有効期限, ポニーエクスプレスから来たと主張しました (したがって、なりすましの送信者アドレスをさらに強化します).
でも, 電子メールヘッダーの分析は、メッセージがヘッダーから発信されたことを示しています: 「rentbikespb[.]次のヘッダーで証明される「ru」ドメイン: "受け取った: rentbikespbから[.]ru (smtp.rentbikespb[.]ru [45[.]156.27.245])」; 送信者がなりすましている可能性が高いことを意味します,」 PACTのレポート 言った.

詳細な分析に基づく, 研究者は攻撃のタイムラインを作成しました, 11月に始まったようです 12:

一緒に, サンプルのVirusTotal送信, サンプル自体, サンプルを含むZIP (電子メールの添付ファイルを介した配布メカニズムとして観察), RARコンテナと同様に (このレポートの後半の「分析」セクションに表示されます) から始まるタイムラインを形成する 12 11月.

DarkWatchmanRATにはキーロガーが付属しています

DarkWatchmanリモートアクセストロイの木馬キャンペーンは、スピアフィッシング操作で「企業規模の組織であることを示す可能性のある多数のサブドメイン」を標的にしているようです。.

さらに, マルウェアはC#キーロガーとペアになっています. RATとキーロガーの両方が軽量であることは注目に値します, 最も一般的なマルウェアとは一線を画す、注目すべき高度な機能が多数含まれています. 検出をバイパスするには, DarkWatchmanは、モジュール間のデータ転送の斬新なトリックに依存しています, LOLbinsを使用するだけでなく. その最初のターゲットはロシア語を話す人または組織のようです. でも, そのスクリプトは英語の変数と関数名で書かれています.

結論は, DarkWatchmanは、ランサムウェアグループまたはアフィリエイトにサービスを提供する初期アクセスツールであると考えるのが安全です。.




初期ネットワークアクセスの詳細

A 2020 レポートはについてもっと明らかにした 初期ネットワークアクセスの価格 サイバー犯罪者が組織を標的にする必要があること.

最初のネットワークアクセスは、組織のネットワーク内に悪意のあるハッカーを巻き込むものです. それを販売している脅威アクター (「初期アクセスブローカー」として知られています) 日和見キャンペーンと標的型攻撃者の間に架け橋を作る. ほとんどの場合, これらはランサムウェアオペレーターです. KELAの研究者はインデックス作成に成功しました 108 先月人気のハッキングフォーラムで共有されたネットワークアクセスリスト. 要求価格の合計値が上回っていた $500,000.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します