>> サイバーニュース > NetSarang Apps Riddled with ShadowPad Backdoor
サイバーニュース

ShadowPadバックドアでいっぱいのNetSarangアプリ

  |  Last Update:  |  0 コメントコメント  

ShadowPadバックドア画像

セキュリティ研究者は、NetSarangによって作成された多くの接続製品がShadowPadバックドアに感染していることを発見しました. これは、犯罪者が会社のサーバーに侵入し、正当なファイルの代わりに悪意のあるインストーラーを配置することを可能にするハッカー攻撃で行われました。.

関連記事: 自己増殖型Emotetトロイの木馬の影響を受ける内部ネットワーク

ShadowPadバックドアに感染したNetSarang製品

NetSarang, 接続ソリューションの有名なソフトウェア開発者の1人, マルウェアに感染した危険な製品のインストーラーを特徴とすることが判明しました. セキュリティインシデントは、公式サイトからダウンロードしたアプリケーションを注意深く確認した後、分析を行ったサイバーセキュリティ会社によって報告されました。. この発見は、ベンダーの顧客の1人が、自社のネットワークにインストールされたソフトウェアパッケージからの疑わしいDNS要求に気付いた後に行われました。. 調査の結果、同社が製造したいくつかの製品が危険にさらされていることが明らかになりました: Xmanager Enterprise 5 (建てる 1232), Xmanager 5 (建てる 1045), Xshell 5 (建てる 1322), Xftp 5 (建てる 1218)Xlpd 5 (建てる 1220).

セキュリティの専門家と調査員は、感染の背後にいる犯罪者がダウンロードサーバーにアクセスし、ビルドサービスのソースコードを変更したり、インストーラーを独自のバージョンに置き換えたりできると考えています。. 悪意のあるファイルは7月にリリースされました 18 発見は数週間後の8月に行われました 4. Kaspersky Labsは、マルウェアが香港の会社が所有するシステムでのみアクティブ化されたことを明らかにし、ウイルスコードはターゲットに対してのみ使用できることを示唆しています. 他の企業もマルウェアの影響を受けている可能性があります. 幸いなことに、ウイルス対策会社は脅威について警告を受けているため、アクティブな感染と休止状態の感染の両方を簡単に削除できます。.

関連記事: 再び上昇する大規模なマンバランサムウェア攻撃

ShadowPadバックドアの影響

ShadowPadバックドアは、被害者を2段階で感染させるように設計されたモジュラーマルウェアです。:

  1. 最初の段階では、シェルコードを次のような正当なプロセスに埋め込みます。 “nssock2.dll”. これにより、ハッカーが制御するCへのネットワーク接続が開始されます&Cサーバー. この段階では、機密情報が被害者のコンピューターから収集され、犯罪者に中継されます。.
  2. 次のステップは、組み込みのShadowPadバックドアエンジンを使用することです. 収集されたサンプルには、モジュラーアーキテクチャを特徴とする5つの異なるモジュールをアクティブ化する機能があります. これは、必要に応じて追加のプラグインをロードできることを意味します.

すべてのネットワーク接続は秘密鍵を使用して暗号化されているため、管理者はネットワーク上の感染を発見するのが非常に困難です。. これは洗練されたバックドアであるため、犯罪者は侵入先のマシンでいくつかの悪意のあるアクションを実行できます:

  • 情報収集 ‒リクエストにより、ハッカーはすべてのハードウェアコンポーネントのリストをダウンロードできるデータ収集プロセスを開始できます。, ソフトウェア構成ファイルまたはユーザーデータ. これには以下が含まれます: データと時間, メモリの状態, CPU周波数, 空きディスク容量, ビデオモード, システムの地域設定, プロセスのPID, オペレーティングシステムのバージョン, ユーザー名とドメイン名.
  • DNSモジュール ‒ShadowPadバックドアはCと通信できます&DNSプロトコルを使用するCサーバー.
  • データハイジャック ‒ ShadowPadバックドアは、侵入先のマシンから機密性の高いユーザーファイルを盗むことができます. 被害者から個人データが乗っ取られると、提供された情報が経済的虐待や個人情報の盗難などの犯罪目的に使用される可能性があります.
  • ウイルス感染 ‒バックドアは、他の脅威のペイロードドロッパーとして使用できます. それによる感染は危険な感染につながる可能性があります.
  • ネットワーク伝搬 ‒リモートコントロール機能により、ハッカーは発見された弱点を悪用して、同じネットワーク上にある他のホストに感染することができます。.

その結果、バックドアにより、ハッカーはマルウェアファイルを侵入先のクライアントにアップロードし、実行中のプロセスまたは新しいスレッドにバインドすることができます。. これはすべてVFSで実行できます (仮想ファイルシステム) これはWindowsレジストリに含まれています. 暗号化モジュールのおかげで、マルウェアのアクションはほとんどのアンチウイルスユーティリティで効果的に発見できません. これが、次のことができる高品質のスパイウェア対策製品の使用を推奨する理由です。 入ってくるサンプルを効果的に検出し、マウスを数回クリックするだけでアクティブな感染を削除します.

ダウンロード

マルウェア除去ツール


スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法

マーティン・ベルトフ

マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.

その他の投稿

フォローしてください:
ツイッター

関連記事:
  1. DNS Unlocker PUP (アドウェア) –それを削除して広告を停止する方法 この記事は、その考えを念頭に置いて作成されました...
  2. DNS UnlockerMacAdsウイルス駆除ガイド DNS Unlocker for Mac とは DNS Unlocker Mac とは...
  3. DNSアンロック広告 2016 削除の更新 DNS Unlocker は非常に侵入的で攻撃的なアドウェア プログラムです....
  4. DNSUnlockerおよびDnspalenville.exeによる広告の削除 非常に攻撃的で侵入的なアドウェア, DNS のロックが解除されました...
  5. DNSUnlockerの説明と削除手順 この記事は、...
  6. DNS Unlocker Ads「ウイルス」–それを削除する方法 (アップデート 2018) この記事は、説明を助けるために作成されました...
  7. DNSリークを防止することで個人情報の盗難から身を守る 個人情報の盗難とは正確には何ですか? Identity theft is a term...
  8. DNSUnlockerを削除できないのはなぜですか? DNSUnlockerは数年前から存在しています,...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します