世界を信じる

Windows、macOS、およびLinuxのバックドアはこれまで検出されませんでした

( oneechanblog ) – 研究者は、Windows、macOS、またはLinuxを実行しているシステム用にゼロから作成された、これまでにないバックドアを発見しました。これらのバックドアは、事実上すべてのマルウェアスキャンエンジンによって検出されませんでした。

セキュリティ会社のIntezerの研究者は、「主要な教育機関」のLinuxベースのWebサーバーでSysJoker(バックドアに付けた名前)を発見したと述べました。 研究者が掘り下げてみると、WindowsとmacOSの両方のSysJokerバージョンも見つかりました。 彼らは、クロスプラットフォームマルウェアが昨年の後半に解き放たれたのではないかと疑っています。

この発見はいくつかの理由で重要です。 まず、完全にクロスプラットフォームのマルウェアは珍しいものであり、ほとんどの悪意のあるソフトウェアは特定のオペレーティングシステム用に作成されています。 バックドアもゼロから作成され、4つの個別のコマンドアンドコントロールサーバーを使用しました。これは、バックドアを開発および使用した人々が、多大なリソースを投資した高度な脅威アクターの一部であることを示しています。 また、これまで見られなかったLinuxマルウェアが実際の攻撃で見つかることも珍しくあります。

広告

Windowsバージョン(Intezerによる)とMac用バージョン(研究者Patrick Wardleによる)の分析により、SysJokerが高度なバックドア機能を提供していることがわかりました。 WindowsバージョンとmacOSバージョンの両方の実行可能ファイルには、接尾辞.tsが付いていました。 Intezerによると、これは、タイプスクリプトアプリになりすましたファイルがnpmJavaScriptリポジトリに潜入した後に拡散したことを示している可能性があります。 Intezerはさらに、SysJokerがシステムアップデートを装っていると言いました。

一方、Wardle氏によると、.ts拡張子は、ビデオトランスポートストリームコンテンツになりすましたファイルを示している可能性があります。 彼はまた、macOSファイルがデジタル署名されていることを発見しましたが、アドホック署名があります。

SysJokerはC ++で記述されており、火曜日の時点で、LinuxおよびmacOSバージョンはVirusTotalマルウェア検索エンジンで完全に検出されていません。 バックドアは、Googleドライブでホストされているテキストファイルから取得した文字列をデコードすることにより、制御サーバードメインを生成します。 研究者が分析している間に、サーバーが3回変更され、攻撃者がアクティブで、感染したマシンを監視していることを示しています。

標的となる組織とマルウェアの動作に基づくと、Intezerの評価では、SysJokerは特定の標的を狙っています。おそらく、「スパイ活動と横方向の動きがあり、次の段階の1つとしてランサムウェア攻撃につながる可能性があります」という目標があります。

あなたはおそらくそれも好きでしょう

より類似した投稿

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Fill out this field
Fill out this field
有効なメールアドレスを入力してください。
You need to agree with the terms to proceed

メニュー