セキュリティ研究者は、スパイウェアファイルを使用してStrongPityと呼ばれるハッキンググループによって進行中の攻撃が実行されていることを検出しました. 調査結果は、この特定のキャンペーンがこれらの国に存在するクルド人のターゲットに焦点を合わせているように見えることを示しています.
変更されたスパイウェアを使用して経験豊富なStrongPityハッカーの標的となったトルコとシリアのホスト
侵入ツールとして使用されるスパイウェアは、以前に検出されたマルウェアの修正バージョンです。. 犯罪者が経験を積んでいるという事実を反映した、新しい機能とコードチャネルが含まれるようになりました.
ハッカーは、クルド人が所有および使用するコンピューターとネットワークを表すように、ターゲットを事前に選択することに重点を置いています。. これは、このキャンペーンが 政治的動機. キャプチャされたファイルに統合されているタイムスタンプは、それらが一致していることを示しています 10月 1 2019. これは2つのことを指すことができます — ツールのコンパイル日またはの始まり オペレーションピーススプリング — このコードネームを使用したシリアでのトルコの軍事行動. これらすべては、キャンペーンが国の支援を受けている可能性さえあることを示しています.
感染は、ターゲットサーバーを事前に選択し、それらに対して危険なトロイの木馬ウイルスを起動することによって行われます。. トロイの木馬の変更されたバージョンは、と呼ばれる攻撃を通じて配信されます 水飲み場. これらは、ハッキングされてハッカーが制御するランディングページにリダイレクトされる、よくアクセスされるWebサイトを選択することによって実行されます。. これにより、ダウンロードがトリガーされます アプリケーションバンドル また 直接実行可能ファイル. これらのファイルは、正規のソフトウェアとして表示される自己署名証明書でデジタル署名されています. ドロッパーを通常のセキュリティスキャンから隠すために、暗号化キーも追加されます. 感染したソフトウェアバンドルの例には、次のような例が含まれます:
- アーカイブプログラム — 7-ZipとWinRAR
- セキュリティソフトウェア — マカフィーセキュリティスキャンプラス
- ファイル回復アプリケーション — Recuva
- リモート接続アプリケーション — TeamViewer
- チャットアプリケーション — WhatsApp
- システムユーティリティ — Piriform CCleaner, CleverFiles, ディスクドリル, DAEMON Tools Lite, GlaryUtilitiesとRARPasswordUnlocker
ドロッパーが実行されると、悪意のあるコードが起動し、スパイウェアツールの第2ステージをサーバーから取得することで、ハッカーが制御するサーバーと対話します。.
StrongPityハッカーはスパイウェアに高度な機能を組み込んでいます
被害者が関連するスパイウェアファイルを使用している場合、これは の展開 4 ファイル: 正規のソフトウェアセットアップファイル, ランチャーとそれに関連する永続的なインストールコンポーネント, データハイジャックコンポーネントとファイルサーチャー.
トロイの木馬は、最初に実際の正当なソフトウェアインストールをロードして、被害者のユーザーが潜在的に危険なアクションを疑わないようにします。. でも その間、ウイルスコードはバックグラウンドで開始されます. マルウェアコンポーネントは暗号化された形式で配信され、潜在的なセキュリティスキャンからコンポーネントを保護するセクションでアクセスする必要があるときに抽出されます.
スパイウェアのランチャーコンポーネントは、ここからSYSTEMフォルダーに配信され、独自のサービスを開始します。. 収集されたサンプルは、マルウェアが次のような実行中のオペレーティングシステムサービスになりすますことを示しています。 プリントスプーラー また レジストリメンテナンスサーバー. 関連するアクションは、脅威のインストールです。 永続的な状態. これは、コンピュータの電源がオンになると、ウイルスコードと関連するすべてのコンポーネントが自動的に起動されることを意味します.
The データ収集 モジュールはと一緒に実行されます ファイルサーチャー ハッカーによって機密と見なされる可能性のあるファイルを見つけるためのコンポーネント. これには、ネットワーク接続を使用して犯罪者に送信される個人ユーザー情報とマシンデータの両方が含まれます.
これらの機能があれば、次のような他の機能を含むようにコードを変更できる可能性が非常に高くなります。:
- 追加のマルウェアのインストール — 侵入プロセス中に、スパイウェアツールをプログラムして、すべての主要なウイルスカテゴリにマルウェアコードを配信およびインストールすることができます。. これには、完全に機能するものを含めることができます トロイの木馬 被害者のマシンの制御を追い越し、それらに含まれる機密データを盗むように設計されています. Webの脅威はしばしば運ばれます 暗号通貨マイナー 同様に–一連の複雑なパフォーマンス集約型タスクをダウンロードして実行します. 彼らは最も重要なハードウェアコンポーネントを利用します: CPU, メモリー, グラフィックス, ハードディスク容量, GPUとネットワーク速度. 報告された完了および報告されたタスクごとに、ハッカーは報酬として暗号通貨を受け取ります. インストールできる別のマルウェアは、 ランサムウェアウイルス — ターゲットファイルタイプ拡張子の組み込みリストに従ってユーザーデータを処理します. それらは暗号化され、アクセスできなくなります. その後、彼らは復号化料金を支払うために恐喝されます.
- システムの変更 — 犯罪者は、構成ファイルの変更やWindowsレジストリの変更など、高度なシステム操作を実装することもできます。. これにより、特定のサービスを開始できなくなる可能性があり、予期しないエラーやより広範なシステムの問題が発生する可能性もあります。.
- ボットネットの募集 — 場合によっては、汚染されたホストを接続されたコンピューターの世界的なネットワークに採用することができます. それらの集合的な力は、単一のターゲットコンピュータに集中できる大規模な攻撃に利用できます。. 最も一般的なタイプの攻撃は 分散型サービス拒否 ターゲットサイトを削除するキャンペーン.
このようなターゲットを絞ったキャンペーンは、高度なハッキンググループが政治的な動機を持ち、意図された被害者ネットワークの予備調査を使用するため、継続すると予想されます。.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: