>> サイバーニュース > Vermin Complex Malware and Rat Set Against Ukraine
サイバーニュース

ウクライナに対する害虫複合マルウェアとラットの設定

害虫ウイルス画像

セキュリティアナリストは、危険な新しい武器を運ぶウクライナに焦点を当てた新しい攻撃キャンペーンを検出しました—害虫マルウェア. リリースされたレポートによると、これは、カスタムコードでさらにカスタマイズされたQuasarトロイの木馬の大幅に更新されたバージョンです。. 危険なコードにより、犯罪者は侵害されたデバイスの完全な制御を追い抜くことができます.

害虫マルウェアが解き放たれた

ウクライナにあるデバイスに対する最近の攻撃キャンペーンにより、Verminと呼ばれる危険な新しいマルウェアが発見されました. 感染を検出した研究者は、それが多くのコードの改善とカスタム追加を含むクエーサートロイの木馬のフォークであると指摘しています. これは、Quasarの動作パターンや元のマルウェアエンジンに直接関連付けられていないため、非常に手ごわい武器になります。. 国に対して設定された集中攻撃は、検討中の2つのケースシナリオにリンクされています. 1つ目は、ハッカーのオペレーターが既製のターゲットリストを使用して攻撃を事前に構成している可能性があるという事実に関連しています。. 2番目の提案は、エンジンが地域の設定に関する詳細情報を抽出できるという事実に起因しています。. 取得した情報を使用して、侵害されたデバイスが実行可能であると判断した場合、マルウェアエンジンはそれ自体をアクティブ化できます. それ以外の場合は、検出を回避するために自分自身を削除できます.

攻撃は主に、 ソーシャルネットワーク, 主な戦術の1つは、さまざまな偽のTwitterプロファイルを利用して 感染した文書. それらは、以下を含むさまざまなタイプにすることができます: リッチテキストドキュメント, プレゼンテーションとスプレッドシート. その背後にある犯罪者は使用します ソーシャルエンジニアリングの戦術 被害者にファイルとのやり取りを強要します. それらは国防省によって作成された文書として表示されるように作られています. ファイルには、感染につながるマルウェアコードをアクティブ化するおとりの自己解凍型実行可能ファイルが含まれています.

関連記事: マルウェアの傾向 2018: 脅威の状況はどのように形成されていますか?

害虫マルウェア浸透戦術—マルウェアプロセス

感染が始まったら ハッカーが制御するサーバーとの安全な接続 確立されています. 興味深いのは、オペレーターが一般的なHTTPの代わりにSOAPプロトコルを使用することです. これは主に構造化された情報を交換するために使用され、自動セキュリティソフトウェアが標準の署名に含まれていない可能性があるため、通常このプロトコルをチェックしないという事実が好まれている理由の1つです。. 詳細な分析は、進行中のキャンペーンが異なるカスタマイズされた株を特徴としていることを示しています. それらはすべて、複数の感染が同じネットワークを標的にしている場合に除去を困難にする可能性のある可変パラメータを使用して構築されています.

マルウェアが感染した後に行われる最初のチェックは、地域の設定に関連しています. マルウェアエンジンは、 詳細なプロファイル 犠牲者のデバイスの. これには両方が含まれます 匿名のメトリック個人を特定できるデータ. 最初のカテゴリは、ハードウェア情報とシステム変数に関連しています. これは主に、攻撃がどれほど効果的かを判断するためにハッカーのオペレーターによって使用されます. 2番目のカテゴリは、被害者の身元を直接公開できるデータで構成されています. 名前に関連する文字列で構成されています, 住所, 電話番号, ジオロケーション, 設定とアカウントの資格情報.

スペシャリストは、Verminコードが4つの特定の入力言語を探していることを示しています: ru – ロシア, イギリス – ウクライナ語, ルル – ロシア語と英国-ua – ウクライナ語. チェックのいずれかが合格した場合、感染はさらに継続します. フォローアップ手順は、追加のマルウェアコンポーネントのダウンロードに関連しています. それらは暗号化された形式であり、オンザフライで復号化され、その後すぐに実行されます. この初期化フェーズ中に、ハッカーは ステルス保護 検出されたセキュリティサービスをバイパスできます. これにはサンドボックスが含まれます, 仮想マシンとデバッグ環境. マルウェアエンジンは、組み込みの指示に従ってそれらをバイパスまたは削除できます. 場合によっては、それができないことがわかった場合、検出を回避するために自分自身を削除することができます.

他のすべてに加えて、アナリストは脅威がインストールすることを発見しました キーロガー. さまざまなマルウェアプロセスに組み込まれ、偽装されています アドビプリンターサービス. このプロセスでは、さまざまな情報を収集できます—すべてのキーストローク, オペレーターによって定義されたマウスの動きまたは個々の相互作用. 収集された情報は暗号化され、フォルダの場所に保存されます:

%appdata% Microsoft ProofSettings。{ED7BA470-8E54-465E-825C-99712043E01C}\プロファイル.

個々のログファイルは、次の形式を使用して記録されます: 「「{0:dd-MM-yyyy}.TXT".

害虫マルウェアの機能

Verminマルウェアがコンピューターにアクセスし、システムプロセスに接続して独自のスレッドを作成することでシステムプロセスに侵入すると、モジュールによって犯罪者はさまざまなコマンドを起動できるようになります。. これは、引用符で囲まれたSOAPプロトコルを介した特別なセキュリティで保護されたネットワーク接続を使用して行われます. 完全なリストには、次のオプションが含まれています:

  • ArchiveAndSplit —ターゲットファイルをアーカイブし、それらを部分的に分割する
  • CancelDownloadFile —実行中のファイル転送をキャンセルします
  • CancelUploadFile —実行中のアップロードプロセスをキャンセルします
  • CheckIfProcessIsRunning —ターゲットプロセスが実行されているかどうかを確認します.
  • CheckIfTaskIsRunning —特定の実行中のプロセスについてシステムにクエリを実行します.
  • フォルダーを作る —指定した場所に新しいフォルダを作成します
  • DeleteFiles —ターゲットファイルを削除します.
  • DeleteFolder —マルウェアに設定フォルダを削除するように命令します.
  • ダウンロードファイル —リモートロケーションからファイルを取得します.
  • GetMonitors —システムを監視している可能性のあるアプリをチェックします.
  • GetProcesses —実行中のプロセスのリストを取得します.
  • KillProcess —プロセスの実行を停止します.
  • ReadDirectory —ターゲットディレクトリの内容を読み取ります.
  • ファイル名を変更する —ターゲットファイルの名前を変更します.
  • RunKeyLogger —キーロガーモジュールを実行します.
  • SetMicVolume —マイクの音量を調整します.
  • ShellExec —提供されたコマンドを実行します.
  • StartAudioCapture —音声監視を有効にします.
  • StartCaptureScreen —スクリーンショットモジュールを有効にします.
  • StopAudioCapture —音声監視を無効にします.
  • StopCaptureScreen —スクリーンショットモジュールを無効にします.
  • UpdateBot —実行中のVerminウイルスモジュールを更新します.
  • ファイルをアップロードする —ファイルをコマンドサーバーに転送します.

これまでのところ、以下のドメインが攻撃キャンペーンに関連していることが判明しています。:

akamaicdn[.]ru
cdnakamai[.]ru
www.akamaicdn[.]ru
www.akamainet066[.]情報
www.akamainet023[.]情報
www.akamainet021[.]情報
akamainet023[.]情報
akamainet022[.]情報
akamainet021[.]情報
www.akamainet022[.]情報
akamainet066[.]情報
akamainet024[.]情報
www.cdnakamai[.]ru
notifymail[.]ru
www.notifymail[.]ru
mailukr[.]ネット
tech-adobe.dyndns[.]ビズ
www.mailukr[.]ネット
185.158.153[.]222
94.158.47[.]228
195.78.105[.]23
94.158.46[.]251
188.227.75[.]189
212.116.121[.]46
185.125.46[.]24
5.200.53[.]181

害虫ウイルスの除去

害虫ウイルスに関連する複雑な感染戦術は、高品質のスパイウェア対策ソリューションを使用した場合にのみ駆除できることを示しています. 感染が発生すると、非常に徹底的なシステム分析が行われ、マルウェアエンジンに侵入先のマシンの構成に関する詳細情報が提供されます。. これにより、トロイの木馬はオペレーティングシステムのすべての主要コンポーネントに影響を与えることができます. そのため、ハッカーのオペレーターは機密ファイルを封印することができます, 被害者をスパイし、収集したデータを恐喝や詐欺の目的で使用します.

信頼できるセキュリティアプリケーションを使用して安全であることを確認するために、すべての被害者に無料のシステムスキャンを実行することを強くお勧めします. このソリューションは、着信攻撃からコンピューターを保護することもできます.

ダウンロード

マルウェア除去ツール


スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法

マーティン・ベルトフ

マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します