スパム操作で「次の大きなもの」になる可能性のある新しいマルウェアローダーが検出されました. 吹き替えSquirrelWaffle, 脅威は、悪意のあるMicrosoftOfficeドキュメントの「スパムスパム」です。. キャンペーンの最終目標は、有名なものを提供することです Qakbotマルウェア, としても コバルトストライク. これらは、世界中の組織を標的にするために使用される最も一般的な犯人の2つです。.
SquirrelWaffleマルウェア: 組織にとっての新たな脅威
CiscoTalosの研究者によるとEdmundBrumaghin, マリアーノグラツィアーノとニックメイビス, 「SquirrelWaffleは、脅威アクターにシステムとそのネットワーク環境への最初の足掛かりを提供します。」この足場は、後でさらなる侵害やマルウェア感染を促進するために利用できます, ハッカーの現金化の好みに応じて.
「組織はこの脅威に注意する必要があります, 近い将来、脅威の状況全体で存続する可能性が高いため,」研究者は言った. 同じ口径の以前の脅威は Emotet, 何年もの間組織を悩ませてきた. Emotetの運用が法執行機関によって中断されたため, セキュリティ研究者は、新しいプレーヤーが登場するのを待っていました. そしてそれは持っています.
レポートによると, 9月中旬から 2021, CiscoTalosチーム, SquirrelWaffleによる感染プロセスを開始する悪意のあるMicrosoftOfficeドキュメントを配信するマルスパムキャンペーンが観察されました. 「Emotetのような以前の脅威で観察されたものと同様です, これらのキャンペーンは、盗まれた電子メールスレッドを利用しているようです, メール自体が既存のメールスレッドへの返信であるように見えるため,」と報告書は述べています. これらの電子メールには通常、悪意のあるZIPアーカイブへのハイパーリンクが含まれています, ハッカーが制御するWebサーバーでホストされる, 他の多くの同様のキャンペーンで見られるように.
SquirrelWaffle電子メールスパムの具体的な内容?
返信メッセージの対象となる言語は、通常、元の電子メールスレッドで使用されている言語と一致します, 動的にローカリゼーションが行われていることを示す. メールの大部分は英語で書かれていましたが, これらのキャンペーン全体で他の言語を使用していることは、この脅威が特定の地理的地域に限定されていないことを強調しています.
マルスパムオペレーターが使用する他の言語にはフランス語が含まれます, ドイツ人, オランダの, とポーランド語.
Cisco Talosは、SquirrelWaffleに関連する着実な活動を観察しています, これは、スパムの量が時間の経過とともに増加する可能性があることを意味します, ボットネットのサイズと同様に.
感染プロセスの観点から, 被害者は、悪意のあるOfficeドキュメントを含むハイパーリンクを介してZIPアーカイブに送信されます. ほとんどのドキュメントはMicrosoftWordまたはMicrosoftExcelのいずれかです, すべてに次のステージのコンポーネントを取得する悪意のあるコードが含まれています, またはSquirrelWaffleペイロード.
「組織は、予防できるように、包括的な多層防御セキュリティ制御を引き続き採用する必要があります。, 探知, または、環境で発生する可能性のあるSQUIRRELWAFFLEキャンペーンに応答する,」 CiscoTalosは結論を出しました.
死んだEmotetマルウェアの詳細
8月に 2020, セキュリティ研究者はエクスプロイトを作成し、続いてキルスイッチを作成しました (吹き替えEmoCrash) Emotetマルウェアの拡散を防ぐため. Emotetは、他のマルウェアをダウンロードしてファイルを盗むように脅威アクターによってプログラムされる可能性のあるオールインワンマルウェアとして説明されています, または汚染されたホストをボットネットネットワークにリクルートします. 少なくとも以来知られている 2014, マルウェアは、民間の標的と企業および政府のネットワークの両方に対する無数の攻撃に使用されていました.
Emotetをテーマにした最後のキャンペーンの1つ Covid-19危機を利用した. ボットネットは、コロナウイルスから保護する方法に関するビデオの説明が記載されたドキュメントになりすました悪意のあるファイルを拡散していることが検出されました. 何か役に立つことを学ぶ代わりに, 潜在的な被害者は、トロイの木馬からワームに至るまでのコンピュータ感染に感染する可能性があります, 昨年共有されたIBMX-ForceとKasperskyのテレメトリデータによると.