APT28ハッキンググループ, ファンシーベアとしても知られています, ニューヨークでの最近のテロ攻撃に言及する感染文書を使用して、グローバルな攻撃キャンペーンを開始しました. 犯罪集団は、DDEと呼ばれるMicrosoftOffice製品のコンポーネントに影響を与える最近の脆弱性を使用しています (動的データ交換).
APT28ハッカーキャンペーンはNYCテロ攻撃を利用しています
コンピュータセキュリティの研究者は、APt28ハッキンググループが運営する新しいグローバルキャンペーンを発見しました. この犯罪集団は、サイバーセキュリティを非常に深く理解していることで広く知られており、何度も見出しになっています。. 彼らの最も有名な違反の1つは、昨年のアメリカ大統領選挙後の民主党全国委員会への侵入です。.
今回、グループは被害者に送信される大量の電子メールメッセージを作成する戦略を使用しています. それらは、犠牲者を操作して彼らと相互作用させるソーシャルエンジニアリング戦術を特徴としています. 被害者に関心のある文書やファイルを提供することは、マルウェアを仕掛ける最も広く使用されている危険な方法の1つです。.
メッセージは最近フランスまたはドイツの軍人に送信された可能性があると考えられています. これは、彼らの動きを追跡する専門家によって行われたセキュリティレポートによると、グループによる同様の活動のいくつかの目撃に基づいています. 現時点で入手可能な情報は、現在のターゲットがヨーロッパのユーザーであることを示しています. 研究者たちは、その文書が “テーマ” 最近のマルウェアキャンペーンから “SabreGuardian” これはヨーロッパでのアメリカ軍の作戦への直接の言及です.
APT28は、大きな影響を与える最新ニュースやストーリーを利用する戦略を採用しているようです. 最新の懸念があるキャンペーンでは、ニューヨーク市での最近のテロ攻撃に言及するタイトルを使用しています. 彼らがヨーロッパの人々に送られたという事実は、ハッカーがニュースソースのふりをしている可能性があることを示しています, 情報提供者または別の種類のプロバイダー.
研究者は、メッセージがさまざまなタイトルとアドレスを使用して、ターゲットをだましてそれらを開くことに注意しています。. 驚いたことに、本文は空で、ターゲットは直接添付されたさまざまなタイプのドキュメントを見つけます. リッチテキストドキュメントのいずれかです, プレゼンテーション, スプレッドシートまたは別の人気のあるファイル. 彼らがさらに相互作用を続けると、危険なウイルス感染が続きます.
APT28マルウェアはMicrosoftOfficeDDEの脆弱性を悪用します
APT28は、と呼ばれる古いMicrosoftOffice機能を使用します 動的データ交換 (DDE) これはまだスイートの一部で利用されています. それ以来、多くの新しいテクノロジーの実装が標準になりました。, DDEモジュールは、新しいMicrosoft Officeリリースでもデフォルトで保持され、アクティブになります. これは元々、ユーザーがコードインジェクションを介してあるドキュメントから別のドキュメントにデータを簡単に配置できるようにするために会社によって使用されていました. これは、ネットワーク共有にあるドキュメントのデータフィールドを動的に更新する場合に非常に便利なコンポーネントです。.
聞こえるかもしれませんが便利, DDE機能は、被害者のコンピューターでスクリプトやコマンドを起動するために犯罪者によって簡単に悪用される可能性があります. 昨年、別の犯罪グループがDDE攻撃を利用しましたが、侵入が成功しただけではありません。, アンチウイルス保護メカニズムもバイパスされました. これは、攻撃者がハッカーによって配置された任意のコードを実行できるようにするPowerShellスクリプトを介して行われます。.
マクロが無効になっている場合でも、照準を合わせたAPT28攻撃は成功します. ターゲットに送信されている主な悪意のあるドキュメントは、 “IsisAttackInNewYork.docx” 作成日は 2017-10-27T22:23:00Z. 犠牲者がそれを開くと、一連の危険なコマンドが続きます.
- マルウェアの初期展開 ‒最初のアクションは、Seduploaderマルウェアをリモートの場所からダウンロードします. これはハッカーが制御するサーバーであり、意図した目標に応じて動的に変更できる多数の脅威をホストできます。.
- 危険なコンポーネントは、被害者のマシンから多数のデータを抽出できる第1段階の偵察ツールです。. マシンのプロファイリングは、システムによってターゲットを分類できる重要なステップです。.
- さらなるマルウェア感染 ‒結果と組み込みの指示に応じて、マシンはさまざまな脅威に感染する可能性があります.
APT28ハッキンググループは、蔓延する感染方法を組み合わせることにより、かなり洗練されたアプローチを使用しているようです。, 侵入の結果として証明されたソーシャルエンジニアリングのトリックとさまざまなマルウェア株.
APT28マルウェアキャンペーンの影響と結果
APT28ハッカーは、エンドユーザーだけでなく危険なファイルを配布します, だけでなく、敏感な人員. セキュリティ研究者は、現在のキャンペーンはおそらくヨーロッパの軍将校を標的にしていると同時に、企業ユーザーに対して攻撃を仕掛けることができると述べています. このような戦略は、高度な形式のランサムウェアを移植する際にエンドユーザーに対して広く使用されています.
侵入に関連する危険な結果は、機密性の高いネットワークが影響を受けたと推測されることです。. さらに、動的コードにより、ハッカーのオペレーターは自動または手動で最も適切なマルウェアを選択できます。. 最初の感染により、侵入先のマシンに関する多くの詳細情報が抽出されるという事実と相まって, だけでなく、ネットワーク.
すべてのユーザーが高品質のスパイウェア対策ソリューションを採用することを強くお勧めします. それはあらゆる種類のウイルスの活発な感染を取り除くことができます, トロイの木馬とブラウザハイジャッカーをマウスで数回クリックして削除します.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: