>> サイバーニュース > ロシアのグループ APT29 による Hammertoss バックドア マルウェアの説明
サイバーニュース

ロシアのグループAPT29によるHammertossバックドアマルウェアの説明

名前 ハンマートス
タイプ バックドアマルウェア, マルウェア株
簡単な説明 Hammertossは合法的なWebサービスを採用しています, ステルスアルゴリズムを使用し、法医学研究者に永続的’ 検出.

新しいロシアのマルウェアがWebを表面化した. これはHammertossと呼ばれ、バックドア機能を備えたマルウェア株です。. Hammertossは、APT29と呼ばれるロシアのグループに起因し、FireEyeIncの研究者によって発見されました。. 彼らはAPT29の活動を注意深く監視しており、ハッカーのグループがロシア政府と関係があるのではないかとさえ疑っています。.

p16_0000

ハンマートスの攻撃段階の説明

Hammertossの攻撃は5つの段階で構成され、企業のクライアントに影響を及ぼします. マルウェアは非常に洗練されています, そして、その作成者は、最もステルスな方法で自分のトラックをカバーすることを安心させました. FireEyeの研究者は、さまざまな技術を特定しました. 悪意のあるツールの動作は次のとおりです:

    1. 合法的なWebサーバーの採用– Twitter, GitHub, コマンドを取得するには.

    2. 毎日の自動化されたTwitterハンドルを開始するアルゴリズム.

    3. 特定の日付または特定の期間内に時間指定の開始を採用する, 通常、被害者の平日.

    4. コマンドと暗号化されたデータを使用した画像の埋め込み.

    5. 侵害されたネットワークを使用してファイルをアップロードし、クラウドサービスを介して情報を抽出する.

Hammertossの操作はTwitterから始まります. これは、マルウェアが最初に指示を探す場所です. アルゴリズムは毎日Twitterハンドルを生成します. それをするために, ベース名が使用されます, 例えば, マイク, 日付に基づく3つのCRC32値が作成されます. これがベース名の例です– labMike.52b. URLはhxxpsのようになります://twitter.com/1abMike52b. 1日のハンドルが登録されていないか見つからない場合, URL自体と同様に, Hammertossは、次の日まで待機して、別のハンドルとの接続を再試行するように設定されています. すぐに言った, Hammertossマルウェアは被害者の環境に溶け込み、アクティブ化されるまで休止状態を維持できます.

Twitterのハッシュタグの説明

APT29が特定の日のハンドルを登録している場合, その後、グループはURLとハッシュタグをツイートします. このURLは、Hammertossを1つまたは複数の画像があるWebサイトに誘導するために使用されます. ハッシュタグ自体は、画像内の命令を解読するために暗号化キーにサブジョインするためのロケーション番号と文字を提供するために使用されます.

hashtag-tweet-hammertoss-マルウェア

悪意のあるツイートには、破損した画像ファイルから暗号化されたデータを抽出するための指示が記載されたハッシュタグが含まれています. 復号化プロセスに使用される文字は「docto」です。, FireEye研究者チームによって提供された画像に表示されます.

APT29ハッカーグループ. その背後にいるのは誰か?

FireEyeの研究者によると, APT29はおそらくロシア政府によって後援されています. そのような結論を出すには、グループの犠牲者と標的を見るだけで十分です。. さらに, グループの悪意のある活動は通常、ロシアの公式休暇中に発生します. 彼らの攻撃のタイムゾーンは通常TCに設定されています +3 –モスクワやサンクトペテルブルクなどの都市のタイムゾーン. APT29のスケジュールと全体的なパフォーマンスは、厳格な規律と一貫性を物語っています, これにより、彼らは最高の1つになり、最も恐ろしいハッキングチームになります。.

グループを他のハッキングチームと異なるパターンの1つは、フォレンジック調査員とその方法を妨害するために使用されるアンチフォレンジック手法です。. APT29の攻撃に見られるもう1つのステルス機能は、被害者の攻撃の監視です。. 彼らのマルウェアは、検出を妨害するために使用する変更ツールのおかげで、常に急速に開発されています.

要約する, Hammertossは、ネットワーク防御者の能力と、コマンドアンドコントロール操作に使用されるTwitterアカウントを認識するための努力を損なうように設計されています, 正当な活動からの悪意のあるネットワークトラフィックを予測する, マルウェアによってアクティブ化およびダウンロードされた悪意のあるペイロードを発見します.

Hammertossマルウェアがどのように機能するかを完全に理解するには, を見てください 報告.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します