ModernLoader は、Cisco Talos の研究者によって検出された新しいリモート アクセス トロイの木馬です。.
実在の ModernLoader キャンペーン
すなわち, 研究者は3つを別々に分析しました, 3月~6月の関連キャンペーン 2022 ModernLoader を提供した, RedLine と複数の暗号通貨マイナー.
これらの攻撃では, 攻撃者は PowerShell を使用します, .ネット, および HTA (HTML アプリケーション) および VBS ファイル, 最終的に SystemBC や DCRAT などのマルウェアを展開する. キャンペーンの最終的なペイロードは、システム情報を収集し、多数のモジュールを展開できる、前述の ModernLoader リモート アクセス トロイの木馬です。.
「3月からの初期のキャンペーンでは, また、攻撃者が暗号通貨マイニング マルウェア XMRig を配布していることも確認しました。. 3 月のキャンペーンは、東ヨーロッパのユーザーをターゲットにしているように見えました, 分析したコンストラクター ユーティリティには、ブルガリア語で記述された定義済みのスクリプト テンプレートが含まれていたためです。, 研磨, ハンガリー語とロシア語,」 Cisco Talos の説明.
ModernLoader は、標的のコンピューターへのリモート アクセスを提供し、より多くのマルウェアをドロップするなど、さらなる悪意のある操作を可能にします, 情報を盗む, ターゲットをボットネットに追加する. さまざまな既製のツールを使用しているため, 攻撃キャンペーンは、これまで知られていなかった攻撃者によるものです, おそらくロシア原産, 東ヨーロッパをターゲットに (ブルガリア, ポーランド, ハンガリー, とロシア).
この未知の脅威アクターは、脆弱な Web WordPress および CPanel インスタンスを侵害し、偽の Amazon ギフトカードを介して ModernLoader マルウェアをドロップします. ModernLoader 自体は、システム情報を収集できる単純な .NET リモート アクセス トロイの木馬です。, 任意のコマンドを実行する, コマンド アンド コントロール サーバーからファイルをダウンロードして実行する. この機能のおかげで, 攻撃者はリアルタイムでモジュールを変更できます.
また、攻撃者が「侵害された Web アプリケーションなどの代替配布チャネルに関心を持っている」ことも注目に値します。, Discord Webhook を使用して、感染と拡散をアーカイブします。」多彩なアプローチと技術的な戦術にもかかわらず, Cisco Talos の見積もり 分析されたキャンペーンの成功は限られている.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: