ジャカルタ - カスペルスキーは、GitHub、Microsoft Learn Challenge、Quora、ソーシャルネットワークなどのサービスからの情報収集を含む一連の複雑な攻撃を検出しました。
この攻撃は2024年後半に中国、日本、マレーシア、ペルー、ロシアのさまざまな組織で検出され、2025年まで続き、大企業から中堅企業への犠牲者の大部分を占めています。
被害者のデバイスに侵入するために、攻撃者は、特に石油およびガス部門の大手国有企業からの正当な通信を装ったスピアフィッシングメールを送信しました。
テキストは、被害者の組織の製品やサービスに興味があり、マルウェアを含むPDF形式の悪意のある添付ファイルを開くように受信者を説得するように見えるように組み立てられました。
攻撃者はDLLハイジャック技術を利用し、開発者がアプリの詳細でリアルタイムのクラッシュレポートレポートを取得するのに役立つように最初に設計された正当なクラッシュレポート送信ユーティリティを悪用しました。
機能するために、このマルウェアは、検出を回避するために、正当な一般的なプラットフォーム上のパブリックプロファイルに保存されているコードを取得してダウンロードします。
カスペルスキーは、GitHubのプロフィール、Microsoft Learn Challenge、Tanya Jawabのウェブサイト、さらにはロシアのソーシャルメディアプラットフォームでこのコードが暗号化されていることを発見しました。これらのプロフィールとページはすべて、この攻撃のために特別に作成されています。
被害者のエンジンで悪意のあるコードが実行された後、コバルトビーコンストライクが起動され、被害者のシステムが感染しました。
「攻撃者が実際の人々のソーシャルメディアプロファイルを使用したという証拠は見つかりませんでしたが、すべてのアカウントはこの攻撃のために特別に作成されたため、脅威アクターがこのプラットフォームで利用可能なさまざまなメカニズムを悪用するのを止めるものは何もありませんでした」と、カスペルスキーのマルウェアアナリストチームの責任者であるMaxim Starodubovは述べています。
彼はまた、そのような攻撃から保護するために、最新の脅威インテリジェンスの開発に常に従うことの重要性を強調しました。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
