>> サイバーニュース >Turlaハッカーは外交官に対してモスキートバックドアを採用
サイバーニュース

Turla Hackersは、外交官に対してMosquiteバックドアを採用しています

Turlaハッカーの画像

Turla Hackersは、大企業や政府機関に対して複雑な攻撃を実行することで広く知られている有名な犯罪集団です。. セキュリティの専門家は、高度なネットワーク操作技術を使用して、主にヨーロッパの大使館や領事館に対する大規模な進行中のハッキングキャンペーンに責任があることを検出しました.

早期警告サイン: 危険な攻撃の疑いのあるTurlaハッカー

コンピュータセキュリティの研究者は、複合ハッキング攻撃について警告を受けました. 詳細な分析では、非常に複雑な感染チェーンが注目度の高いターゲットに対して使用されているため、集合体が原因である可能性が高いことが示されています. 意図された犠牲者の大多数は主にヨーロッパに拠点を置く外交官です. オペレーターは、Adobe Flash Playerの変更されたコピーを使用して、次のような危険なバックドアをインストールしました。 これはグループに起因します. マルウェアの初期化中に、以前のキャンペーンでTurlaグループに関連付けられていたコマンドアンドコントロールサーバーに接続します.

動作分析は、Turlaハッキンググループに起因する他のマルウェアファミリーのシグネチャとも一致します. これには、同様のプロセス実行シーケンスだけでなく、, 文字列の難読化やAPI解決コンポーネントなどの高度なコンポーネントもあります. これは、ハッカーが再び注目を集めるターゲットに対して侵入の試みを続けていると結論付けています.

Turla Hackersは、感染時にネットワーク操作とAdobeのサーバーを使用します

Turlaハッカーは、Adobe Flash Playerの偽造コピーを作成しました。これは、以前のキャンペーンのいくつかとそれほど変わりません。. ただし、電子メールメッセージのような使い慣れた戦術を使用する代わりに (ソーシャルエンジニアリング技術の有無にかかわらず) および偽造ダウンロードサイト, マルウェアファイルはAdobeサーバーから直接ダウンロードされているようです. その結果、侵入検知サービスとユーザー管理者は、インストールの続行を許可するようにだまされる可能性があります.

さらに調べてみると、ハッカーはホストフィールド操作技術を使用していないことが判明しました。. 犯罪者はこのフィールドを操作して、ハッカーが制御するサーバーを指し示します. ただし、詳細な分析の結果、これは当てはまらないことが明らかになり、マルウェアファイルは実際にAdobeのサーバーから入手できるようです。. ただし、会社のセキュリティチームは、侵入は検出されていないと述べています。.

検討中のいくつかの可能な説明があります:

  • 不正なDNSサーバー — IPアドレスはAdobeが使用する実サーバーに応答するため、この提案はすぐに破棄されました.
  • 真ん中の男 (MitM) 攻撃 — Turlaハッカーは、意図された被害者のネットワーク上にある侵害されたマシンを利用できます. ARPスプーフィング技術を使用すると、犯罪者はトラフィックをリアルタイムで操作し、他の危険なホストにリダイレクトできます。. 進行中の攻撃の詳細な調査中に、そのようなツールはコードと動作パターンで検出されませんでした. この方法を採用する場合は、実際のキャンペーン開始前に感染が発生している必要があります.
  • ハッキングされたゲートウェイデバイス —この場合、犯罪者はゲートウェイデバイスに侵入します (ルーター, プロキシサーバーとネットワークスイッチ) 多数の犠牲者に影響を与える. このような攻撃により、Turlaは、ローカルエリアネットワークとインターネット間の着信および発信トラフィックを確認できます。.
  • ISPレベルの侵入 —同様の方法で、Turlaグループはインターネットサービスプロバイダー自体のサーバーへの侵入を変更できます。 (ISP). ターゲットのほとんどは旧ソ連諸国にあり、少なくとも4つの異なるプロバイダーを使用しています. このシナリオは、ハッカーがさまざまな国のネットワークトラフィックを同時に監視できる場合に発生する可能性があります。.
  • BGPハイジャック —最後に考えられるシナリオはBGPハイジャック攻撃です. これは、自律システムを使用して、Adobeサイトに属するプレフィックスをアナウンスすることで実行できます。. これにより、ネットワークトラフィックをハッカーが制御するサイトにルーティングできるようになります. 影響を受けるグループは、危険な場所の近くにいるユーザーです。. ただし、このようなマルウェアの慣行を常に監視しているサービスが多数あるため、これはほとんどありません。.

事実上、ネットワークの悪用は、任意のペイロードによるマルウェア感染を引き起こす可能性があります. 進行中の攻撃キャンペーンは、主に次のような危険なバックドアによる感染につながるようです。 .

AdobeFlashインストーラーがMosquitoマルウェアの代わりに2つの別々のJAvaScriptベースのバックドアを提供するという別の動作も観察されています. これらは、Microsoftが使用するシステムフォルダに配置され、 google_update_chcker.jslocal_update_checker.js.

最初のインスタンスは、GoogleAppsScriptでホストされているWebアプリケーションをロードします. アプリケーションは、base-64でエンコードされた応答を期待するように作成されています. 必要なコマンドが返送されると、組み込み関数を使用して内容がデコードされます. マシンに追加の脅威をダウンロードすることが目的であると推定されます. その他の場合は、任意のコマンドを実行するためにも使用できます. コード分析は、Mosquitoと同様に、レジストリ値を追加することで永続的な脅威としてインストールできることを示しています。.

2番目のJavaScriptマルウェアは、システムフォルダーにあるファイルの内容を読み取り、その内容を実行します. このようなウイルスは、関連する構成ファイルと一緒にドロップされます. 感染した各ホストに応じて動作が変わる可能性があるため、非常に危険です。. 永続的な実行状態を実現するために、レジストリ値を追加できます.

関連記事: 古くなることのないマルウェアコード, バージョン 2017

蚊のバックドアはTurlaハッカーの武器です

Turlaグループが使用する主なペイロードの詳細な分析は、 . アナリストは、これはそれ以降に使用されてきた古い脅威の更新であると述べています 2009. これはAdobeFlashPlayerインストーラーを装っており、Adobeからの正当な署名が含まれているため、ほとんどのコンピューターユーザーをだます可能性があります。. 実際の悪意のあるコードは非常に難読化されています (隠れた) カスタム暗号化メカニズムを使用する. マルウェアペイロードが展開されると、事前定義された動作パターンに従います.

感染すると、Mosquitoバックドアはそれ自体を復号化し、2つのファイルをシステムフォルダにドロップします. アナリストは、Turlaには ステルス保護技術 セキュリティソフトウェアに関連付けられている文字列を検索する. 将来のバージョンでは、次のような他のツールに対しても使用できます。 仮想マシン, サンドボックスデバッグ環境. Mosquitoマルウェアは、 永続的な実行状態 レジストリキーの実行またはCOMハイジャックを介して. これに続いて Windowsレジストリ 変形. その結果、コンピュータが起動するたびに危険なコードが実行されます.

アン 情報収集 フェーズが続きます. このマルウェアには、システムに関する機密情報を抽出し、Adobeドメインを介してハッカーに送信する機能があります。. 一部のサンプルデータには、サンプルの一意のIDが含まれています, 被害者のユーザーのユーザー名またはネットワークのARPテーブル.

被害者をだまして、正当なインストーラーであると思わせるために、実際のAdobeFlashセットアップインスタンスがダウンロードされて実行されます. キャプチャされたサンプルで、Adobe独自のダウンロードサーバーとGoogleドライブリンクの2つのソースが特定されていることが判明しました。.

メインのバックドアコードが実行される前に、セットアッププロセスはと呼ばれる別の管理者アカウントを作成します HelpAssistant また HelpAsistant パスワードを持っている “sysQ!123”. システム値 LocalAccountTokenFilterPolicy に設定されています 1 (真実) これにより、リモート管理が可能になります. セキュリティの専門家は、これが犯罪者によるリモートアクセス操作と組み合わせて使用される可能性があることを明らかにしています.

Turla Hackersの発明—蚊のバックドアの機能

メインのバックドアコードは、それ自体を構成するためのカスタムアルゴリズムを使用して暗号化されたWindowsレジストリ値を使用します. Turlaハッカーは包括的なログファイルライターをバンドルしています. アナリストは、ログエントリごとにタイムスタンプを書き込むことに注意してください. これは、このようなバックドアでは非常に珍しいことであり、おそらく加害者が感染を追跡するために使用します。.

他の同様のバックドアと同様に、ハッカー制御コマンドアンドコントロールに接続します (C&C) コンピューターの相互作用を報告するサーバー. これはランダムな時間で行われます, ヒューリスティックベースのスキャンを回避する手法. ハッカーはこれを使用して任意のコマンドを送信し、感染したホストにさらなる損害を与える可能性があります. ユーザーエージェントはGoogleChromeとして表示されるように設定されています (バージョン 41).

プログラミングを容易にするための事前定義された命令のリストがバックドアにバンドルされています. リストには次のエントリが含まれています:

  • ファイルをダウンロードして実行する.
  • プロセスの起動.
  • ファイル削除.
  • ファイルの抽出.
  • レジストリにデータを保存する.
  • コマンドを実行して出力をCに送信&Cサーバー.
  • Cを追加&CサーバーのURL.
  • Cを削除する&CサーバーのURL.
関連記事: 暗号通貨マイナーに感染した何百万ものコンピューター

進行中のTurlaハッカー攻撃: それらに対抗する方法

現在、蚊のバックドアはまだ進行中であり、セキュリティ調査が危険な侵入の原因を探り続けるにつれて、潜在的な標的の数は増え続けています. Turla刑事集団は、注目を集める標的に侵入できることで広く知られています, 彼らの犠牲者の多くは政府機関や大規模な国際企業です. ソーシャルエンジニアリング攻撃は、その複雑さで注目に値します, アナリストは、あらゆる種類の分析や侵入検知を回避するために、高度なネットワーク関連の攻撃が慎重に計画されていることにも注目しています。.

署名は一般に公開されていることがわかっているため、コンピューターユーザーは、マルウェア感染がないかシステムをスキャンすることをお勧めします。.

ダウンロード

マルウェア除去ツール


スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法s

マーティン・ベルトフ

マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します