ジャカルタ-カスペルスキーの専門家は、中東の政府機関を対象とした、2024年2月にこれまで知られていなかった新しいサイバースパイキャンペーンを明らかにしました。
このスパイキャンペーンでは、攻撃者が密かにターゲットをスパイし、監視と耐久性のために設計された一連の高度なツールを使用して機密データを取得します。
「この多様なマルウェアは、このキャンペーンの背後にいる脅威アクターの適応性と創意工夫能力を示しています」と、カスペルスキーのGReAT(グローバルリサーチアンドアナリシスチーム)の主任セキュリティ研究者であるSergey Lozhkinは述べています。
カスペルスキーは、マルウェアの初期のドロッパーは、Total Commanderと呼ばれる法的ツールの破損したインストーラファイルに変装したと述べました。このドロッパーには、スペインの詩の文字が埋め込まれており、あるサンプルから別のサンプルへの文字が異なります。
この変異型は、各サンプルの署名を変更し、従来の方法論による検出がより困難になるようにすることを目的としています。
ドロッパー内に組み込まれている悪意のあるコードは、攻撃者に被害者のエンジンへのアクセスを提供することを目的としたCR4Tと呼ばれるバックドアの形で追加のペイロードをダウンロードするように設計されています。
「現在、同様のインプラントが2つ見つかっていますが、追加のインプラントが非常に疑わしいです」とLozhkin氏はさらに付け加えました。
カスペルスキーのテレメトリは、2024年2月上旬に中東の犠牲者を特定しました。さらに、セミパブリックマルウェアスキャンサービスへの同様のマルウェアのアップロードの一部は、2023年末時点で30回以上の出荷で発生しました。
VPN出力の疑いのある他のソースは、韓国、ルクセンブルク、日本、カナダ、オランダ、米国にあります。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)