StyleServ マルウェアがバックドアとして機能する
StyleServ はバックドア タイプのマルウェアとして分類されており、システムへのさらなる侵入を準備したり、感染の第 2 段階を実行したりするように設計された悪意のあるプログラムのカテゴリに分類されます。現時点では StyleServ の正確な目的は不明ですが、その後の感染を促進するための予備ツールとして機能する可能性が非常に高いです。
前述したように、このレポートの時点では、StyleServ の正確な機能は不明のままです。それにもかかわらず、このマルウェアは、侵入したネットワークをスキャンして、ターゲット内の既存の脆弱性を特定するなど、攻撃の進行に役立つ情報を検索するために利用される可能性があります。
このようなツールは、特定のターゲットとそのセキュリティの脆弱性または脆弱性の欠如に応じて、多用途の標的型攻撃に一般的に使用されることを強調することが重要です。
StyleServ 感染は、DLL サイドローディング技術を使用することが知られています。この手法は、Windows DLL 検索順序メカニズムを利用して、正規のプログラムを悪用して、StyleServ などの悪意のあるペイロードを実行します。
このバックドアは、システム監視を伴う受動的な攻撃で使用され、脆弱性のスキャンやポートのオープンなどの活動が含まれる場合があります。一部の受動的な攻撃では、標的のシステムとのやり取りが最小限で済みますが、他の攻撃では能動的な偵察が行われます。後者の例としては、ポート スキャンが挙げられます。これは、ネットワークがどのように機能するかに関する情報を収集することを目的としており、潜在的な弱点やより深く侵入する経路を特定することに重点を置いています。
StyleServ の動作モード
StyleServ の感染では、DLL がアクティブ化されると、5 つのスレッドが開始され、それぞれが異なるポートに割り当てられます。これらのスレッドは、60 秒間隔で定期的に「stylers.bin」という名前のファイルへのアクセスを試みます。ファイルの正当性は、その可用性と特定の基準を満たしているかどうかに基づいて判断されます。
ファイルが有効であるとみなされた場合、そのファイルは後続のスレッドによるネットワーク要求で使用されます。スレッドは主に「stylers.bin」の暗号化されたバージョンとして機能し、リモート接続のレセプターとして機能し、ネットワークソケットの動作を監視します。
StyleServ は Cur マルウェア グループとのつながりが希薄であることに注意することが重要です。このバックドアのサンプルは、CurLu ローダーの亜種をアップロードしたのと同じユーザーによって提供されました。 StyleServ と CurLu 感染との関連に関する推測が確認された場合、Cur マルウェア ファミリに関連するプログラムを使用して、StyleServ と同じ脅威アクターとの間に接続が確立されることになります。