カスペルスキーがロシア企業に脅威を与える新しいバージョンのロキマルウェアを見つけました

ジャカルタ - カスペルスキーの専門家は、ロシアの少なくとも12社に対する一連の標的型攻撃で、以前は知られていなかったLokiの新しいバックドアバージョンを発見しました。

世界的なサイバーセキュリティ企業によると、この攻撃は、オープンソースMysicの悪用後のフレームワークのパーソナルエージェントバージョンである Backdoor.Win64.MLokiマルウェアを使用して、エンジニアリングや健康産業を含むさまざまな業界を標的にしました。

ロキは、疑いを持たないユーザーによって自分で起動された悪意のある添付ファイルを含むフィッシングメールを介して被害者のコンピュータに到達します。

インストールされると、Lokiは攻撃者にWindowsアクセストークンの管理、進行中のプロセスへのコードの注入、感染したマシンとコマンドおよびコントロールサーバーの間でファイルを転送するなど、侵害されたシステムに広範な機能を提供します。

「オープンソースのエクスプロイト後のフレームワークの人気は高まっており、インフラストラクチャのセキュリティを向上させるには有益ですが、攻撃者はマルウェアを拡散するためにこれらのフレームワークをますます採用および修正しています」と、カスペルスキーの研究開発者であるArtem Mashkov氏は述べています。

彼によると、ロキは、有害な目的のためにさまざまなフレームワークをテストおよび実装し、検出と帰属をブロックするようにそれらを変更した攻撃者の最新の例です。

ロキエージェント自体はトラフィックの配布をサポートしていないため、攻撃者はngrokやgTunnelなどの一般に公開されているユーティリティを使用してプライベートネットワークセグメントにアクセスします。

現在、Lokiを既存の脅威アクターのグループにリンクさせるのに十分なデータはありません。ただし、カスペルスキーの分析によると、攻撃者は標準のフィッシングメールテンプレートに頼るのではなく、個々のターゲットに慎重にアプローチします。