スパイ活動に使用された DownEx マルウェア

DownEx と呼ばれる新しいタイプのマルウェアがルーマニアのサイバーセキュリティ研究者によって発見されました。

これは、中央アジアの政府機関を標的とした高度なスパイ活動に使用されており、ロシアを拠点とする攻撃者の関与を示唆する証拠があります。この攻撃は、Microsoft Word ファイルに見せかけたブービートラップされたペイロードを含むスピア フィッシングメールを通じて実行されます。

添付ファイルを開くと、おとりドキュメントが表示され、悪意のある HTML アプリケーションがバックグラウンドで実行されます。この HTA ファイルは、リモート コマンド アンド コントロール サーバーとの接続を確立して、次の段階のペイロードを取得するように設計されています。これは、永続性を確立するためのバックドアであると考えられています。攻撃者は、エクスプロイト後のアクティビティにもカスタム ツールを使用します。これには、ネットワーク リソースを列挙するための C/C++ ベースのバイナリ、ファイルの窃盗、他のマルウェアの削除、スクリーンショットのキャプチャの指示を受け取るための Python スクリプト、および DownEx と呼ばれる C++ ベースのマルウェアが含まれます。ファイルを C2 サーバーに抽出します。

DownEx の他の 2 つの亜種も発見されています。研究者らはさらに、これはファイルレス攻撃であり、悪意のあるスクリプトはメモリ内にのみ存在し、被害者のドライブには決して到達しないことを意味すると指摘しました。

ファイルレス マルウェアとは何ですか?また、それが特に危険である理由は何ですか?

ファイルレス マルウェアは、ハード ドライブに痕跡を残さず、コンピュータのメモリ内で動作する悪意のあるソフトウェアの一種です。このため、スキャンするファイルがないため、従来のウイルス対策ソフトウェアを使用して検出して削除することが特に困難になります。ファイルレス マルウェアは、ファイルや実行可能ファイルに依存するのではなく、ソーシャル エンジニアリング、エクスプロイト、ドキュメント内の悪意のあるマクロなどの手法を通じて配信されることがよくあります。

ファイルレス マルウェアの主な特徴の 1 つは、PowerShell や Windows Management Instrumentation (WMI) など、システム上にすでに存在する正規のプログラムやツールを使用して悪意のある活動を実行することです。これにより、ファイルレス マルウェアは正規のシステム アクティビティに溶け込み、従来のウイルス対策ソフトウェアによる検出を回避できます。

ファイルレス マルウェアが特に危険であるもう 1 つの理由は、ファイアウォール、侵入検知および防御システム (IDS/IPS)、ファイルベースの署名やパターン マッチング アルゴリズムに依存するその他のセキュリティ ツールなどのエンドポイント保護手段をバイパスすることが多いことです。さらに、ディスクには何も書き込まないため、長期間検出されずに残ることができ、検出される前に目的を達成できる可能性が高くなります。

ファイルレス マルウェアは、金融機関やその他の価値の高いターゲットに対する攻撃など、機密情報やシステムへのアクセスを目的とした標的型攻撃でよく使用されます。また、ランサムウェア キャンペーンなど、攻撃者ができるだけ多くのシステムに感染しようとする、より広範な攻撃にも使用できます。