Lu0botマルウェア、Node.JS上に構築された興味深い脅威
サイバー犯罪者は、さまざまな戦略を使用して、侵害したシステムや盗んだデータから利益を得ています。それらのいくつかは、より手の込んだ攻撃を実行するためにそれを使用しますが、他の人はできるだけ早くキャッシュアウトしようとします。後者のタイプの犯罪者は、感染したマシンへのアクセスを最高入札者に転売することがよくあります。このような購入で最も人気のあるアンダーグラウンドサービスの1つは、最近、これまでに見られなかった新しいマルウェアを解き放ちました。 Lu0botマルウェアと呼ばれる脅威はまだ開発中である可能性があることに注意することが重要です。コードの長いセクションはコメント化されて役に立たなくなり、他の部分には長いトラブルシューティングアルゴリズムが含まれています。
Lu0botマルウェアの正確な目的はまだ明確ではありません。その柔軟な構造と機能により、さまざまな目的を達成できる可能性があります。初期ペイロードはCで書かれた非常に小さなファイルですが、それは独特の目的を果たします。 Lu0bot Malwareは、非常に古いバージョンのNode.JSフレームワーク(2016年以降)をインストールします。Node.JSはJavaScriptフレームワークであり、拡張された機能の豊富なライブラリを導入しています。犯罪者は、侵害したシステムで悪意のあるコードを実行するためにNode.JSスクリプトに依存しています。これが、フレームワークのインストールが攻撃の最初の段階である理由です。
Lu0botマルウェアは今のところデータ収集に焦点を当てています
アクティブになると、Lu0botマルウェアの複雑な構造が機能します。ペイロードは、感染したマシンに関するデータを収集することを目的としたスクリプトの豊富なライブラリを備えています。犯罪者が追跡する情報は次のとおりです。
- プロセスとサービスの実行。
- マイドキュメント、デスクトップ、プログラムファイルなどのフォルダのコンテンツ。
- ネットワーク設定。
- ハードウェアとソフトウェアのリスト。
- 付属の周辺機器。
Lu0botマルウェアが使用するネットワークチャネルもランダムです。通常のHTTP接続に依存する代わりに、ペイロードは定期的にUDPとTCPを切り替える場合があります。通信とコンテンツを難読化するために使用する暗号化も大きく異なります。 Lu0bot Malwareのコードの一部のセクションはBlowfishアルゴリズムに依存していますが、他のセクションはXOR、Diffie-Hellman、およびAES-128-CBCを使用しています。これにより、ペイロードの分析と分析が困難な作業になります。
最後になりましたが、Lu0bot Malwareは、制御サーバーから新しいコードをリアルタイムで受信できます。これは、Lu0botマルウェアの機能が事実上無制限であることを意味します。犯罪者はプログラミングの知識を使用して、使用したいほとんどすべての機能を実装できます。このモジュラー構造により、Lu0botマルウェアは非常に危険です。
これまでのところ、Lu0botマルウェアのペイロードは完全に武器化されていませんが、これが発生するのは時間の問題です。このプロジェクトの背後にいる犯罪者は明らかに非常に知識が豊富で経験豊富であるため、彼らの攻撃はかなりの問題であることが判明する可能性があります。最新のウイルス対策ソフトウェアを使用して、ネットワークとシステムを保護するために必要な対策を講じてください。これに加えて、すべてのソフトウェアとハードウェアに最新のパッチとアップデートを適用します。