PY#RATION RAT は独自の C2 アプローチを使用
セキュリティ研究者は、2022 年 8 月に Python ベースのリモート アクセス トロイの木馬 (RAT) を使用した新しいサイバー攻撃を特定しました。データの流出。
この攻撃に使用されたフィッシング メールには、英国の運転免許証の画像を装った 2 つの .LNK ファイルを含む ZIP アーカイブが含まれています。それぞれのリンクが開かれると、2 つのテキスト ファイルがリモート サーバーからダウンロードされ、.BAT ファイルとして名前が変更され、バックグラウンドで実行され、偽の画像が表示されます。
さらに、別のバッチ スクリプトが C2 サーバーから取得され、マルウェアをシステム ファイルとして偽装するために使用される CortanaAssistance.exe などの追加のペイロードをダウンロードします。このトロイの木馬には 2 つのバージョン (1.0 と 1.6) が確認されており、新しいバージョンには約 1000 行のコードが追加されており、ネットワーク スキャン機能と Fernet モジュールを使用した暗号化をサポートしています。この機能には、ファイルの転送、キーストロークの記録、システム コマンドの実行、Web ブラウザーからのパスワード/Cookie の抽出、クリップボード データのキャプチャ、およびウイルス対策ソフトウェアの存在のチェックが含まれます。
これは、Web ブラウザーや暗号通貨ウォレットから情報を取得するように設計されたインフォスティーラーなど、追加のマルウェアを展開する経路としても機能します。攻撃者の出所は不明のままですが、フィッシングルアーから判断すると、意図された標的は英国または北米にある可能性があると考えられています。
PY#RATION のようなマルウェアがシステムを侵害するために使用するバックドアとは?
バックドアは、攻撃者がユーザーの知らないうちに、または許可なくシステムにアクセスできるようにする悪意のあるプログラムです。 PY#RATION のようなマルウェアは通常、バックドアを使用して、オペレーティング システム、アプリケーション、またはネットワーク プロトコルの脆弱性を悪用し、システムを侵害します。
一般的なバックドア テクニックには、リモート デスクトップ プロトコル (RDP) などのリモート アクセス ツールの使用、管理者権限を持つ隠しアカウントの作成、悪意のあるスクリプトを使用したターゲット マシンでのコマンドの実行などがあります。バックドアを使用して、認証メカニズムをバイパスし、機密データにアクセスすることもできます。さらに、バックドアを使用して侵害されたシステムに追加のマルウェアをインストールすることができ、攻撃者は被害者のマシンに対する制御をさらに拡大できます。
PY#RATION のようなリモート アクセス トロイの木馬が、被害者にとって重大なセキュリティ問題となるのはなぜですか?
PY#RATION のようなリモート アクセス トロイの木馬は、攻撃者がユーザーの知らないうちに許可なくシステムにアクセスできるため、被害者にとって重大なセキュリティ上の問題です。このタイプのマルウェアは、オペレーティング システム、アプリケーション、またはネットワーク プロトコルの脆弱性を悪用して、認証メカニズムをバイパスし、機密データにアクセスする可能性があります。
さらに、バックドアを使用して侵害されたシステムに追加のマルウェアをインストールすることができ、攻撃者は被害者のマシンに対する制御をさらに拡大できます。これは、攻撃者が被害者のコンピューターを完全に制御できる可能性があることを意味します。これには、パスワードや財務データなどの個人情報へのアクセスが含まれます。さらに、リモート アクセス トロイの木馬は、他のシステムやネットワークに対して分散型サービス拒否 (DDoS) 攻撃を開始するために使用される可能性があり、それらをさらに危険なものにしています。
そのため、強力なパスワードを使用し、最新のセキュリティ パッチを適用してシステムを最新の状態に保つことにより、ユーザーがこれらの種類の脅威から身を守るための措置を講じることが重要です。