APT28 が SkinnyBoy マルウェアを解き放つ
ロシアの Advanced Persistent Threat (APT) グループは、エイリアス APT28 または Fancy Bear で追跡されており、最近、新しいマルウェアを公開しました。 SkinnyBoy と呼ばれるこのマルウェアは、2021 年にいくつかの政府機関に対して使用されました。犯罪者は、外交、軍事および防衛に関連する組織、および外国大使館を標的にしたようです。一部の攻撃は欧州連合の加盟国を標的にしていましたが、SkinnyBoy マルウェアは、米国の組織に属する侵害されたネットワーク上でも発見されました。
では、SkinnyBoy マルウェアは正確に何をするのでしょうか?この脅威は通常、Microsoft Word ドキュメントを含むスピア フィッシング メールを介して配信されます。添付ファイルは正当に見えるかもしれませんが、実際にはマルウェア ダウンローダーを抽出して初期化する悪意のあるスクリプトを詰め込んでいます。犯罪者は、受信者に基づいてフィッシング メールを変更する可能性が高く、多くの場合、近日開催予定の国際イベントへの保留中の招待をユーザーに通知するふりをしていました。
脅威が正常に展開された後、すぐに起動することはありません。代わりに、SkinnyBoy マルウェアは、次回の起動時に Windows を起動するようにプログラムします。遅延実行は、サイバー犯罪者が検出を回避するために使用する典型的なトリックです。 SkinnyBoy Malware は、実行されると、正規の Windows 機能を利用して、侵害されたシステムのソフトウェア構成に関するデータ (systeminfo.exe および tasklist.exe) を取得します。これとは別に、追加のペイロードをダウンロードして起動しようとしますが、これまでのところ、これらは特定されていません。
SkinnyBoy Malware の主な目的は、スパイ活動と、侵害されたシステム/ネットワークの制御を強化することであるようです。ありがたいことに、ウイルス対策製品のベンダーはすでに新しい脅威を認識しており、ソフトウェアに最新のパッチを適用すれば、SkinnyBoy Malware の攻撃を阻止するのに十分すぎるほどです。