政府機関に対する最新のラッキーマウストロイの木馬

セキュリティの専門家は、LuckyMouse Hackingグループが、高度な侵入行動パターンを使用する新しい悪意のある脅威を考案したと報告しています。. この新しいLuckyMouseトロイの木馬は、注目度の高いネットワークに感染する機能を備えており、重大な感染と見なされています。.

過去のラッキーマウストロイの木馬攻撃

LuckyMouseハッキンググループとLuckyMouseトロイの木馬と呼ばれるその主要な武器は、影響力の大きい攻撃キャンペーンを引き起こすことでよく知られている悪名高い犯罪集団です。. LuckyMouseの以前の反復を含む最も認識可能な攻撃の1つは、6月です。 2018 攻撃. このグループは、中央アジアにある国立データセンターに対する攻撃を開始しました. セキュリティ研究者は、犯罪者が制限されたネットワークとその政府のリソースにアクセスできることを発見しました.

攻撃を撃退するために配置および構成されたすべてのセキュリティシステムをバイパスできる複雑な動作パターンが観察されました. 感染後の報告によると、セキュリティの専門家は、主な侵入メカニズムが不明であることを示しています。. 攻撃は 感染した文書. アナリストは、を利用してスクリプトを含むドキュメントを取得することができました。 CVE-2017-118822 MicrosoftOfficeの脆弱性. それとの相互作用が初期ペイロードドロッパーの展開につながったと考えられています. アドバイザリの説明は次のとおりです。:

マイクロソフトオフィス 2007 サービスパック 3, マイクロソフトオフィス 2010 サービスパック 2, マイクロソフトオフィス 2013 サービスパック 1, およびMicrosoftOffice 2016 攻撃者がメモリ内のオブジェクトを適切に処理できないことにより、現在のユーザーのコンテキストで任意のコードを実行できるようにする, 別名 “MicrosoftOfficeのメモリ破損の脆弱性”. このCVEIDはCVE-2017-11884から一意です.

そこからいくつかの高度な ステルス保護 感染をセキュリティサービスから隠すためのモジュール:

• 悪意のあるDLLをロードするために使用される正当なリモートデスクトップサービスモジュール.
• LuckyMouseトロイの木馬デコンプレッサを起動するDLLファイル.
• デコンプレッサインスタンス.

その結果、トロイの木馬インスタンスは感染したホストに展開され、システムプロセスと個々のアプリケーションに接続されます。. これにより、犯罪者は被害者をスパイし、ユーザーを偽のログインページにリダイレクトすることができます。, キーストロークやマウスの動きなどを記録する. この攻撃では、アナリストは、犯罪者がURLを挿入して、悪意のあるコードを配信する可能性があることを確認しました。.

その結果、中国のハッカーは全国のデータセンターに侵入することができました。, すべての基準で、これは重大なリスクとして認識されています.

ラッキーマウストロイの木馬感染技術

以前の亜種の大幅に変更されたバージョンのように見える新しいLuckyMouseトロイの木馬インスタンスの報告を受けました.

グループは中国から発信されていると考えられています, これの新しい証拠は、菌株が利用しているという事実です セキュリティ署名 中国企業の. 深センを拠点とする情報セキュリティソフトウェアの開発者です. 感染経路は悪意のあるNDISProxyです. 正当なソフトウェアが存在する可能性がありますが、ハッカーは会社からハイジャックされたデジタル署名を使用して独自のバージョンを作成しました。 32 および64ビットバージョン. 事件を発見すると、アナリストはこれを会社とCN-CERTに報告しました.

LuckyMouseトロイの木馬とその32ビットバージョンの最初の配布は3月末に開始されたようです。 2018. ハッカーはすでに感染したネットワークを使用して脅威を広めたと考えられています.

犯罪者がウイルスファイルを広めるために使用できるいくつかの方法があります:

• フィッシングメール —ハッカーは、受信ユーザーが使用している可能性のあるインターネットサービスまたはサイトからの正当な通知を装ったメッセージを作成できます。. ウイルスファイルは、本文のコンテンツに直接添付またはリンクされている可能性があります.
• ペイロードキャリア —悪意のあるエンジンは、次のようなさまざまな形式で埋め込まれる可能性があります。 ドキュメント (以前の攻撃と同じように) またはアプリケーションインストーラー. LuckyMouseハッカーは、エンドユーザーが通常使用する有名なアプリケーションの正規のソフトウェアインストーラーを乗っ取ることができます: システムユーティリティ, 創造性スイートと生産性ソリューション. その後、さまざまなサイトに配布できます, メールやその他の手段.
• ファイル共有ネットワーク —海賊版コンテンツを広めるためによく使用されるBitTorrentやその他の同様のネットワークは、ハッカーによっても使用される可能性があります. スタンドアロンのウイルスファイルまたはペイロードキャリアのいずれかを配信できます.
• スクリプト —以前の攻撃では、最終的な展開スクリプトに最終的に依存する複雑な感染パターンを使用していました. ドライバーのインストールは、さまざまなアプリケーションやサービスに統合したり、Webページを介してリンクしたりできるスクリプトによって呼び出すことができます。. 場合によっては、リダイレクトなどの通常の要素を介して悪意のある動作が観察される可能性があります, バナー, 広告, ポップアップなど.
• Webブラウザプラグイン —感染を広めるために、ハッカーが悪意のあるWebブラウザプラグインをプログラムする可能性があります. これらは通常、最も人気のあるWebブラウザーと互換性があり、関連するリポジトリーにアップロードされます。. 彼らは、ユーザーにそれらをダウンロードするように強制するために、精巧な説明とともに偽のユーザーレビューと開発者の資格情報を利用します. インストール時に、被害者は、ハッカーが管理するサイトにリダイレクトするために設定が変更される可能性があることに気付くでしょう。. LuckyMouseトロイの木馬は自動的にインストールされます.

Luckymouseトロイの木馬には、高度なシステム操作エンジンが搭載されています

感染したNDISドライバーをインストールすると、セットアップファイルはシステムをチェックし、適切なバージョン（32ビットまたは64ビット）をロードします。. 通常のインストールと同様に、セットアップエンジンはステップをログファイルに記録します. 署名されたドライバーがシステムに展開されると、ウイルスコードも暗号化された形式でWindowsレジストリに登録されます. 次のステップは 対応するオートタルトサービスの設定 — LuckyMouseトロイの木馬は、コンピュータの電源を入れると自動的に開始されます. 警告! 場合によっては、リカバリメニューへのアクセスが無効になることがあります.

主な目標は、lsass.exeシステムのプロセスメモリに感染することです。. これは、事前定義されたセキュリティポリシーの実施を担当するオペレーティングシステムのメインプロセスです。. それは以下を含むいくつかのプロセスを担当しています: ユーザー確認, パスワードの変更, アクセストークンの作成, Windowsセキュリティログなどの変更.

悪意のあるネットワークドライバーは、通信チャネルをRDPポートに設定します 3389 どれの ハッカーが侵害されたホストへの安全な接続を設定できるようにします. 悪意のある行動には以下が含まれます:

• その他のマルウェアのダウンロードと実行 —感染したコンピューターは、犯罪者のコントローラーが選択したファイルをダウンロードして実行するように命令できます。.
• コマンド実行 — LuckyMouseトロイの木馬は、ユーザー権限と管理者権限の両方でコマンドを実行できます.
• 監視 —犯罪者は、被害者を監視し、彼らの活動を常にスパイすることができます.
• ネットワーク攻撃を開始する — LuckyMouseトロイの木馬コードを使用して、株をさらに拡散させることができます. これは、自動的に実行することも、侵入テストコマンドを手動でトリガーすることによって実行することもできます。.

LuckyMouseトロイの木馬の目標とインシデント

セキュリティアナリストは、LuckyMouseトロイの木馬を運ぶ攻撃が主にアジアの政府機関を標的にしているように見えることを検出しました. ウイルスサンプルがこの正確な動作パターンに従うようにカスタマイズされているという事実は、リリース前に重要な計画が行われていることを示唆しています。. ハッカーの意図について明確な情報はありませんが、彼らは政治的な動機を持っている可能性があると推測されています.

犯罪集団は非常に経験豊富であり、将来のキャンペーンと更新されたウイルスコードが発生する可能性が高いことは明らかです. 気になる事実の1つは、これまでのすべてのLuckyMouse攻撃が感染後に特定されたことです。. これは、攻撃とその識別の間に遅延があったことを意味します. 各バージョンはさらに高度なコードベースで更新されるため、システム管理者はシステムを監視する際にさらに注意を払う必要があります。.