エアギャップのあるコンピューターをスパイするために考案された新しいUSBCulrpritマルウェア

にマーティン・ベルトフ | Last Update: 六月 5, 2020 | 0 コメントコメント

未知のハッキンググループが、USBCulpritマルウェアと呼ばれる新しい危険な脅威の背後にいます. これは、セキュリティで保護されたシステムにサイレントに侵入するように設計されています。 エアギャップ — これは、それらが外部ネットワークに接続されないことを意味します. 現在、いくつかの国が標的にされています, 主にアジアにあります.

高度なUSBCulpritマルウェアによってスパイされたエアギャップコンピュータ

未知のハッキンググループまたは個人が、多くのセキュリティ専門家によって危険な新しい脅威を作成しました。 USBCulpritマルウェア. 他の汎用ウイルスと比較して、これはいわゆる侵入するように設計されています エアギャップコンピュータデバイス. これらは通常、重要なインフラストラクチャです, 他のネットワーク機器から意図的に分離されたサーバーやその他の注目度の高いコンピューティング機器.

ハッカーやマルウェア自体を指すために使用されている名前がいくつかあります: ゴブリンパンダ, CycldekとConimes, 分析されたサンプルのおかげで、広範な機能セットが統合されていることを確認できます. マルウェアによって実行される可能性のある個々のアクションを説明するために使用されるいくつかのカテゴリがあります:

ファイルの相互作用 — これには、あらゆる種類のデータ操作に関連するすべてのアクションが含まれます: ファイルの作成と既存のファイルの変更と削除. これはディレクトリにも拡張されます.
データの盗難 — ハッカーはUSBCulpritマルウェアを使用して、ローカルに接続されたハードドライブからファイルを盗むことができます, リムーバブルストレージデバイスとネットワーク共有（利用可能な場合）.
セキュリティ関連のタスク — このカテゴリには、ウイルスがターゲットシステムに侵入するのを助けるために使用される主な方法が含まれます.

現時点では、脅威の背後にいるハッカーが使用した正確な感染戦略はまだわかっていません。. 研究者は、 メインエンジンはUSBリムーバブルメディアに依存しています. これは、感染したUSBフラッシュドライブまたは外付けドライブを、ターゲットのエアギャップコンピューターに到達できるネットワークに接続する必要があることを意味します。.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/octopus-scanner-malware-github/”]感染したGitHubリポジトリで見つかったOctopusScannerマルウェア

USBCulpritマルウェアに関する詳細情報

USBCulpritマルウェアの展開につながる感染は、感染したリムーバブルデバイスまたは以前のウイルス活動によって引き起こされます. ハッカーはと呼ばれる脅威を使用しています NewCore 主なペイロード配信メカニズムとして. それ自体はに分かれています 2つのバージョン – BlueCore と RedCore. それらは含まれています キーロガー機能 これは、ユーザーによるキーストロークとマウスの動きの入力を記録するように設計されています. もう1つの重要な機能は、 RDP盗難機能 — コンピュータ管理者によってリモートデスクトップログインソフトウェアがインストールされているかどうかを検出し、資格情報を盗みます. これにより、ハッカーは正当なアプリケーションを介してホストの制御を引き継ぐことができます. ネットワーク管理者の観点からは、これは通常のログイン試行としてフラグが立てられ、侵入者がネットワークにアクセスしたことを示すアラームは発生しません。.

これらの2つのツールには、次の機能も含まれています。 USBCulpritマルウェアを配信する 彼らの行動シーケンスの一部として. この脅威に関連するコマンドの1つは、 ドキュメントのコレクション 次に、接続されたリムーバブルストレージデバイスにエクスポートされます. ハッカーはに焦点を当てています 横方向の動きの戦略 つまり、感染したUSBドライブに依存して他の感染を実行します.

脅威の背後にあるハッカーによって行われる別のアプローチは、 ファイルコンポーネントのマスキング — ハッカーは、ウイルス対策プログラムの一部であるため、それらを表示させます. これにより、ローダーと実際のウイルスがマスクされます.

分析されたサンプルは、マルウェアがと呼ばれるメカニズムを介してロードされることを示しています DLL検索順序の乗っ取り — これにより、ウイルスコードの存在が隠され、バックグラウンドでサイレントに起動します. 今、 主なタスクは機密データをハイジャックすることです そしてそれを 暗号化されたRARアーカイブファイル. 次に、ハッカーが取得するリムーバブルストレージデバイスにコピーされます。. 将来のアップデートでは、トロイの木馬接続を介してデータを転送できるようになると予想されます.