新しいタイプのRAT, またはリモートアクセス型トロイの木馬, これまで以上に頻繁に表示されます. このようなトロイの木馬は通常、企業に対する標的型攻撃に使用されます, 組織や政府. 最新のRATの1つ, アーバーセキュリティエンジニアリングによって発見されました & 対応チーム (ASERT) アーバーネットワークスで, 東南アジアで悪意のあるキャンペーンを開始しました. 同様のRATは、ミャンマー政府に対する攻撃で以前に検出されました. これらの攻撃の背後にあるハッキングチームは、シスコのTalosGroupによってグループとして識別されています。 27.
RATの詳細, 企業の攻撃とインシデント対応:
攻撃はどのように実行されましたか?
水飲み場型攻撃は政府の公式ウェブサイトで実行されました. 結果として, 今後の選挙に関する情報にアクセスするためにページにアクセスするユーザーは、PlugXに感染しました。これは、複数の攻撃で使用される有名なRATです。 2015.
ミャンマー政府に対する攻撃が明らかにされたという事実はグループを止めませんでした 27. アーバーの対応チームによる最新の報告によると (ASERT) 新しいリモートアクセス型トロイの木馬, グループの活動に関連するリリースされました. 分析中, 新しいRATは、ほとんどのウイルス対策ベンダーによって検出されないままでした. これは、サイバースパイのために作成されたこの新しい作品が非常に洗練されていることを証明しています. Trochilusと呼ばれています.
Trochilusの具体的な内容?
最新のGroup27のRATには、合計6つのマルウェア株が含まれています, 犯罪者が標的とするデータに応じて、さまざまなバリエーションで組み合わされます.
ASERTの専門家は、マルウェアのコレクション全体をSevenPointedDaggerと名付けました. それはで構成されています:
- 2つのTrochilusRATバージョン;
- のバージョン 3012 の変種 9002 ねずみ;
- EvilGrabRATバージョン;
- まだ特定されていない1つの未知のマルウェア.
セキュリティアナリストは、グループが 27 彼らの最初のサイバースパイキャンペーンが検出されたという事実についてはあまり気にしませんでした. さらに, このグループは、同じ入り口、つまりミャンマー選挙委員会のWebサイトから被害者に感染し続けました。.
TrochilusRATのソースコードがGitHubにアップロードされました
それにもかかわらず、RATはマシンのメモリ内で実行するように設計されています (したがって、AVソフトウェアによる検出を回避します), ASERTの研究者は、RATのソースコードを取得し、それを5loydという名前のユーザーのGitHubプロファイルに接続しました。.
GitHubページ, RATは、高速で無料のWindowsリモート管理ツールとして宣伝されています。. その他の詳細は次のとおりです。:
- CC+で書かれています;
- さまざまな通信プロトコルをサポート;
- ファイルマネージャモジュールがあります, リモートシェル, 非UACモード;
- 自分自身をアンインストールできる;
- リモートマシンから情報をアップロードできる;
- 実行ファイルをダウンロードできる.
研究者は、5loysはグループの一部ではないと信じています 27. 可能性が高い, ユーザーのプロファイルがグループによってハイジャックされ、独自の目的で使用された.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法