EastWind キャンペーンは CloudSorcerer を介してロシア政府と IT 組織をターゲットにしています

A Backdoor in a Ruby Password Checking Library

新たなサイバー攻撃の波の中で、ロシア政府機関と IT 組織は、EastWind と呼ばれる高度なスピアフィッシング攻撃の標的になっています。この攻撃は、一連のバックドアとトロイの木馬を配布し、RAR アーカイブ添付ファイルに隠された悪意のある Windows ショートカット (LNK) ファイルを通じて Windows システムを悪用します。何も知らないユーザーがこれらのファイルを開くと、複雑な感染シーケンスがトリガーされ、最終的には、CloudSorcerer バックドアの更新バージョンである GrewApacha や、新たに特定された PlugY というインプラントなど、いくつかの危険なマルウェアの亜種が展開されます。

感染プロセス

EastWind 攻撃は、一見無害な LNK ファイルから始まります。しかし、このファイルは無害ではありません。DLL サイドローディング技術を利用して、Dropbox を通信チャネルとして使用し、悪意のある DLL ファイルを実行します。感染がアクティブになると、偵察活動が行われ、追加のペイロードがダウンロードされます。

展開されたマルウェアの中には、以前は中国関連のAPT31グループに関連付けられていたバックドアであるGrewApachaがあります。このマルウェアは、侵害されたGitHubプロファイルを使用してBase64エンコードされた文字列を保存し、コマンドアンドコントロール(C2)サーバーとして機能します。

この攻撃のもう 1 つの重要なコンポーネントは、高度なサイバースパイツールであるCloudSorcererです。このバックドアは、Microsoft Graph、Yandex Cloud、Dropbox などの一般的なクラウドサービスを活用して、秘密裏に監視、データ収集、および流出を容易にします。暗号化ベースの保護メカニズムを採用しており、Windows GetTickCount() 関数から派生した一意のキーを生成することで、マルウェアが標的の被害者のマシンでのみアクティブになるようにします。

このキャンペーンで確認された最後のマルウェアはPlugYです。これは、シェル コマンドの実行、被害者の画面の監視、キーストロークの記録、クリップボードの内容のキャプチャが可能なフル機能のバックドアです。PlugY は TCP、UDP、または名前付きパイプを使用して管理サーバーに接続し、APT27 や APT41 などの中国関連の脅威アクターに起因する DRBControl と呼ばれる既知のバックドアとの類似点を示します。

緩和と除去

EastWind キャンペーンの高度さを考えると、これらの脅威を軽減し、除去するには多層的なアプローチが必要です。

  1. 疑わしいファイルを開かないでください:予期しない、または疑わしい添付ファイルは開かないでください。特に、RAR アーカイブや LNK ファイルの形式の場合は開かないでください。このようなファイルを受け取った場合は、続行する前に送信者にその正当性を確認してください。
  2. 高度なウイルス対策ソリューションを使用する: GrewApacha、CloudSorcerer、PlugY などの高度な脅威を検出して削除できる最新のウイルス対策ソリューションを採用します。システム全体のスキャンを実行し、検出された脅威を削除します。
  3. システムの更新とパッチ適用:オペレーティング システム、ソフトウェア、セキュリティ ツールが最新のパッチで更新されていることを確認します。これにより、EastWind などのマルウェアが悪用する可能性のある脆弱性を解消できます。
  4. ネットワーク トラフィックの監視:定期的にネットワーク トラフィックを監視して、異常なアクティビティ、特に不明な C2 サーバーや Dropbox、Microsoft Graph、Yandex Cloud などのクラウド サービスへの接続がないか確認します。疑わしいトラフィックは調査してブロックする必要があります。
  5. 感染したシステムを隔離する:感染が検出された場合は、感染の拡大を防ぐために、直ちに影響を受けたシステムをネットワークから隔離します。徹底的な調査を実施して、マルウェアの痕跡をすべて特定し、削除します。
  6. 電子メール セキュリティの強化:スパム フィルター、電子メール認証プロトコル、フィッシング攻撃を認識するための従業員トレーニングなど、強力な電子メール セキュリティ対策を実装します。

EastWind 攻撃は、サイバー犯罪者が防御を突破して機密情報を盗むために使用する戦術が進化していることを如実に示しています。警戒を怠らず、包括的なセキュリティ戦略を採用することで、組織はこのような高度な脅威から身を守ることができます。システムがこれらのバックドアやトロイの木馬に対して強化されていることを確認し、感染の兆候を検出して除去するための予防措置を講じてください。

Zane
August 14, 2024
Browser Hijacker
日本語
August 14, 2024
Browser Hijacker

人気の投稿

OperaGXSetup.exe ファイルとは何ですか? 悪意のあるものですか?

11 months年前

Eporner.comとその過剰なポップアップが危険な理由

12 days年前

注意してください: 誰かがあなたをリカバリメール詐欺に追加しました

10 months年前

HackTool:Win32/Crack: システムに深刻なダメージを与える可能性のある悪意のある脅威

7 months年前

潜在的に深刻な脅威: Trojan:Win32/Suschil!rfn

19 days年前

Packunwan トロイの木馬の脅威とは何か、そしてそれがコンピュータにどのような影響を与えるか

11 months年前
日本語
読み込み中...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。