NightClub マルウェアが MoustachedBouncer 脅威アクターにリンク
NightClub として知られるマルウェアは、スパイウェアとデータ盗難の機能を備えています。この悪意のあるプログラムには少なくとも 4 つのバージョンが存在し、最も古い亜種は 2014 年に遡ります。
NightClub マルウェアは、MoustachedBouncer という名前の脅威アクターによって使用されます。このグループは約 10 年間活動しており、主にベラルーシの外国大使館をターゲットにしています。注目すべき標的には、ヨーロッパに2カ国、アフリカと南アジアにそれぞれ1カ国の大使館の計4カ国の大使館が含まれる。 NightClub に加えて、この脅威アクターは Disco と呼ばれる別のツール セットも利用しています。
NightClub のオリジナル バージョンは、ファイルの監視とデータの抽出という 2 つの主要な機能に重点を置いています。このマルウェアは、盗んだコンテンツを電子メール経由でコマンド アンド コントロール (C&C) サーバーに送信します。以前の反復では、Microsoft Word (.doc、.docx)、Microsoft Excel (.xls、.xlsx)、PDF (.pdf) ドキュメントなどの形式のファイルのダウンロードに限定されていました。
ただし、2016 年以降にリリースされたバージョンには、C&C サーバーから追加の悪意のあるモジュールをフェッチする機能があります。理論的には、感染したデバイスに追加のコンテンツを侵入させる機能を持つマルウェアはさまざまな形式の感染を引き起こす可能性がありますが、実際には、このソフトウェアは特定の制約内で動作する傾向があります。
2020 年以降に開始された NightClub 攻撃では、バックドア モジュールに加えて、キーロギング (入力されたデータのキャプチャ)、スクリーンショットの撮影、内蔵または接続されたマイクを介した音声の録音のためのモジュールが導入されています。
バックドア モジュールには、プロセスの作成、ディレクトリのコピーと再配置、ファイルの読み取り、移動、消去など (ただしこれらに限定されない) さまざまなコマンドを実行する機能があります。
マルウェア開発者は、時間の経過とともにソフトウェアと手法を強化することが多いことに注意することが重要です。さらに、NightClub の活動は政治的および地政学的な攻撃に関連しています。これらの要因は、今後のナイトクラブ キャンペーンで異なる機能や追加の機能が導入される可能性があることを示唆しています。
Infostealer は通常どのようにオンラインで配布されますか?
Infostealer は、情報スティーラーまたはデータ スティーラーとも呼ばれ、被害者のデバイスに侵入し、機密情報を収集し、悪意のある攻撃者に送信するように設計されたマルウェアの一種です。これらのマルウェア株は、ログイン認証情報、財務情報、個人情報などの貴重なデータを収集することを目的としています。 Infostealer は、さまざまなオンライン方法を通じて配布できます。
悪意のある電子メールの添付ファイル:情報窃取者は、感染した添付ファイルを含むフィッシングメールを通じて拡散することがよくあります。これらの添付ファイルは、ドキュメント (PDF、Word ファイルなど)、スプレッドシート、または実行可能ファイルとして偽装される可能性があります。被害者が添付ファイルを開くと、マルウェアが実行され、デバイスが危険にさらされます。
電子メール内の悪意のあるリンク:フィッシングメールには、悪意のある Web サイトへのリンクが含まれている場合もあります。これらのリンクをクリックすると、ユーザーが知らないうちにマルウェアが自動的にダウンロードされ、実行されるドライブバイ ダウンロードが行われる可能性があります。
マルバタイジング:インフォスティーラーは、正規の Web サイトに表示される悪意のある広告 (マルバタイジング) を通じて配信される可能性があります。これらの広告は、脆弱なデバイスにマルウェアを配信できるエクスプロイト キットをホストする Web サイトにユーザーを誘導する可能性があります。
侵害された Web サイトまたは偽の Web サイト:サイバー犯罪者は、悪意のあるソフトウェアをホストするために偽の Web サイトを作成したり、正規の Web サイトを侵害したりする可能性があります。これらのサイトにアクセスしたユーザーは、知らないうちにインフォスティーラーをダウンロードしてインストールしてしまう可能性があります。
フリーウェアとクラックされたソフトウェア:サイバー犯罪者は、情報窃取者にクラックされたソフトウェアや海賊版コンテンツをバンドルする場合があります。ユーザーがこれらのファイルをダウンロードしてインストールすると、誤ってマルウェアがインストールされてしまいます。
ドライブバイ ダウンロード:ドライブバイ ダウンロードは、侵害された Web サイトまたは悪意のある Web サイトにアクセスすると、ユーザーのデバイスへのマルウェアの自動ダウンロードとインストールがトリガーされるときに発生します。
悪意のあるファイル共有ネットワーク: Infostealer は、ファイル共有ネットワーク、特に海賊版のソフトウェアやコンテンツをホストするネットワークを通じて配布される可能性があります。これらのファイルをダウンロードして実行するユーザーは、知らないうちにマルウェアを実行してしまう可能性があります。