昨年最初に検出されたValarトロイの木馬は、現在、MicrosoftExchangeサーバーに対する広範な攻撃に使用されています。. その背後にあるハッキンググループはまだ知られておらず、マルウェアは主にドイツと米国を標的にしています. これは、被害者のコンピューターに多段階で配信される高度な脅威として評価されています.
Valarトロイの木馬がMicrosoftExchangeServerを攻撃
Valar Trojanは、現在MicrosoftExchangeサーバーに対する武器として使用されている高度なマルウェアです。. キャンペーンの背後にいるハッカーは、ドイツと米国にあるマシンを標的にするためにそれを使用しています. 特に危険なのは、多段階のインストールメカニズムを使用する複雑な感染戦略で脅威が配信されるという事実です。. 実際のマルウェアは新しいものではありません, その最初のサンプルは、以前のキャンペーンで検出されました 2019. 新しいハッキンググループがトロイの木馬コードを取得し、攻撃キャンペーンで使用しました.
犯罪者は、採用する新しい戦略を使用しています マクロ感染文書 英語とドイツ語の両方で作成されています. これらのファイルはMicrosoftWordで開かれ、危険なスクリプトが含まれています. それらは、ターゲットのエンドユーザーに応じて拡散されます フィッシング戦略. 最も可能性の高い方法は、送信することです メールメッセージ これには、パーソナライズされた、または一般的な挨拶が含まれ、これらのドキュメントをリンクまたは添付する場合があります. 受信者がローカルコンピューターでそれらを開くと、組み込みのスクリプトを有効にするように求めるメッセージが表示されます. これにより、Valarトロイの木馬が配備されます.
The 初期インストール 複雑な感染シーケンスに従ってシステムに感染することによって行われます. 実行される最初のアクションの1つには、広範な データ収集アクション これは、マシンデータとID関連情報を抽出するように設計されています. ハイジャックされる重要な資産の1つは、 ジオロケーションデータ これにより、ユーザーの場所が決まります. さらに、より多くのデータがマシンからダウンロードされます, このモジュールもかかります 定期的なスクリーンショット また、他のトロイの木馬やマルウェアをロードします. 文書化された例には以下が含まれます ウルスニフ これは一般的な進行性感染症です.
Valarトロイの木馬の更新バージョンには、メインエンジンの機能を拡張する他のモジュールとプラグインが含まれています. 研究者は、Valarはシステム内に隠れてしまう可能性があるため、高度なリスクと見なされていると述べています。 Windowsレジストリを変更する. これは、ウイルスが自分自身の値を作成するか、既存の値を編集して、発見や削除から自分自身を保護することを意味します.
このカテゴリのマルウェアは、次のようなアクションを実行するために使用できます:
- 情報収集 — ハイジャックされたマシンデータと個人ユーザー情報は、経済的虐待や個人情報の盗難などの他の犯罪に使用される可能性があります.
- 監視 — トロイの木馬エンジンは、ハッカーが被害者をスパイし、感染したマシンの制御を引き継ぐことを可能にします.
- 追加のウイルス感染 — Valarトロイの木馬は、被害者のシステムに他の種類のウイルスをインストールするために使用できます. 人気のあるオプションには、ファイルの暗号化が含まれます ランサムウェア これにより、ユーザーファイルがロックされ、復号化料金の支払いが要求されます. 別の方法は、 ブラウザハイジャッカー これは、すべての一般的なWebブラウザと互換性のある危険なプラグインです。. ユーザーをフィッシングページにリダイレクトします, 詐欺やハッカーが管理するページ.
トロイの木馬の主な目的の1つは、 インストールされているMicrosoftExchangeサーバーにアクセスできます. これには、保存されている資格情報が含まれます, 機密コンテンツとドメイン証明書. 実施された分析は、トロイの木馬の異なるバージョンがそのインフラストラクチャを共有していることを示しています. これは、ハッカーが自分たちの管理下にある大きなリソースを持っていることを意味します. 展開された脅威はロシアから発信されていると推定されるため、ハッカーがロシア出身である可能性が非常に高いです。.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: