犯罪集団は世界中のコンピュータネットワークに対して積極的になりつつあります. 専門家は、PLAINTEEおよびDDKONGマルウェアファミリーを利用して、アジアにあるさまざまなコンピューターに対してRancorハッカーによって組織化されている攻撃の新しい波を検出しました。. このグループは、組織に対する標的型攻撃でカスタムトロイの木馬を作成することで以前から知られています.
RancorハッカーとそのPLAINTTEEおよびDDKONGマルウェアの発見
標的型ハッカー攻撃は、過去2年間で最も危険な戦術の1つになっています. ほとんどの場合、セキュリティの脆弱性とカスタムコードまたは高度なトロイの木馬株を使用したコンピューター感染に依存しているため、さらに有害な結果をもたらす可能性があります。. これが、通常のウイルス感染よりもはるかに破壊的である可能性がある理由です。, ランサムウェアを含む.
犯罪集団は、KHRAKトロイの木馬として知られる脅威の分析後に発見されました. 8月の高度な攻撃で使用されました 2017 カンボジアのコンピューターユーザーに対して. 主な配布方法は、ソーシャルエンジニアリングの戦術を使用してできるだけ多くのユーザーに感染させる感染したMicrosoftWord文書を使用することでした。. 組み込みマクロが一度 (スクリプト) 組み込みエンジンがアクティブ化されると、残りのウイルスを取得するダウンロードコマンドが起動します. セキュリティ分析は、ネットワーク要求が偽のDropBoxドメインアドレスを使用していることを示しています。これは、システム管理者と自動防御対策が疑わしい操作を検出するのを防ぐために使用されるトリックです。.
インストールに続いて、 トロイの木馬 ハッカーが制御するサーバーに接続するインスタンス. これにより、RANCORハッカーが被害者をスパイすることができます, 追加の脅威を展開し、いつでもマシンの制御を引き継ぎます.
KHRAKトロイの木馬は、同様の戦略が現在アジアのターゲットに対して実行されていることが判明したため、パズルの重要な部分です。. 感染が実行される方法は、同じアクターが進行中の攻撃の背後にいることを示しています. レポートは、集合体がターゲットにしていることを示しています シンガポール と カンボジア.
Rancor Hackersは、アジアのターゲットに対してPLAINTTEEおよびDDKONGマルウェアを活用します
攻撃は再び電子メールスパムメッセージを配布の主要な方法として使用します. レポートは、RANCORハッカーが政治ニュースや現代の出来事に主に焦点を当てたニュース記事から取られた要素を使用していることを示しています. これにより、専門家は、攻撃者が主に政治的実体を標的にしていると信じる理由が得られます。.
電子メールメッセージの最も危険な特徴の1つは、正当な場所でホストされていることです。, カンボジア政府とソーシャルネットワークによってホストされているものを含む, Facebookを含む. 分析中に、セキュリティスペシャリストは、KHRATトロイの木馬のコマンドとサーバーの一部が使用されていることに気付きました。. 2つの異なるクラスターがあります (名前付き “クラスターA” と “クラスターB”) 個別のフィッシング戦略を利用する. このステップは、感染率を上げるために行われます。.
DDKONGマルウェアの機能
DDKONGマルウェアのコード分析は、その最も古いバージョンが10月にさかのぼることを示しています 2017. これは、ウイルスのコードが他のグループやハッカーと共有されている可能性が非常に高いことを示しています。.
DDKongは3つの部分で構成されています: ServiceMain, Rundll32CallおよびDllEntryPoint. 最初の部分が実行されると、それ自体がサービスとしてロードされ、2番目のモジュールが起動します. これは、を有効にするために行われます 永続的なインストール. 同様の脅威は、特定の回復メニューとモードを無効にすることでシステムを変更し、コンピューターの起動時にウイルスを自動的に開始させます. これにより、手動によるユーザーの削除が非常に困難になります.
Rundll32Call関数は、一度に1つのインスタンスのみが実行されていることを確認するサービスモニターを開始します. 3番目のモジュールは、エンコードされた形式で配信され、前の2つのモジュールの実行が成功すると、システム上でライブでデコードされます。. この手順は、セキュリティソフトウェアがシグネチャベースのスキャンを使用して最終的なマルウェアを検出するのを防ぐために必要です。. 最後のモジュール (DllEntryPoint) 感染を報告するために使用されるハッカー制御サーバーへの安全な接続を作成します. また、ハッカーが他の脅威をインストールすることもできます, 犠牲者をスパイし、マシンの制御を引き継ぎます.
PLAINTEEマルウェア機能
PLAINTEEマルウェアは、ハッカーと通信するためにカスタムUDPプロトコルを使用することが判明した高度な脅威です。. DDKONGと同様に、最初の感染にフィッシングメールを使用し、マルウェアがターゲットマシンに侵入するとすぐに、組み込みの動作パターンを開始します。.
キャプチャされた株のコード分析は、脅威によって行われた最初のアクションがに関連していることを示しています Windowsレジストリ. ウイルスは自分自身を 持続的な脅威 として自分自身をマスキングすることによって “Microsoftオーディオ” サービス. オペレーティングシステムに属するコンポーネントを装った新しいフォルダエントリを作成します. これに続いて、システムサービスモニターが呼び出され、一度に1つのインスタンスのみが実行されていることを監視および確認します。.
次のステップは、 データハーベスティング 生成に使用されるエンジン 一意のユーザーID. 収集された値のリストには、次の情報が含まれています:
- プロセッサの仕様 & インストールされているメモリ
- マザーボードとインストール済みコンポーネント
- 地域の設定
- ユーザーが設定したオペレーティングシステムの値
DDKONGマルウェアと同様に、この特定の脅威もカスタムセキュリティプロトコルを使用してハッカーが制御するサーバーと通信します. 収集されたデータは自動的に送信され、応答と要求のシーケンスが確立されます. 観察された相互作用は、ハッカーがさまざまなコマンドを使用できることを示しています. 機密データのリストを取得するだけでなく、接続を使用して追加の脅威を展開できます.
実施された分析により、エンジンは実行中のアプリケーションとサービスのリストも取得できることが明らかになりました, 利用可能なネットワーク接続と同様に. これは、追加の脅威を展開するために使用できます, マシンの制御を引き継ぎ、リアルタイムでユーザーをスパイします.
ランコアハッカーによるPLAINTTEEおよびDDKONGマルウェア感染の結果
RANCORハッカーから発生している進行中の攻撃は、東南アジア地域のみを標的にしているようです。. 彼らは洗練されたソーシャルエンジニアリングベースのフィッシングスキームを使用しているため、この地域にある国から来ている可能性が非常に高いです。. 脅威の最も危険な側面の1つは、カスタムプロトコルを使用することです, これにより、セキュリティソフトウェアによるマルウェアの脅威の検出と、ネットワーク分析の両方が回避されます。.
分析の結論は、このような複雑な菌株が特に危険であることをもう一度確認します. セキュリティ研究者がマルウェアの状況を監視し続けている間、調査は継続されます.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: