WinDealerマルウェア
いくつかの新しいマルウェアファミリーがセキュリティ研究者によって特定されました。それらの1つはWinDealerと呼ばれ、LuoYuという名前の脅威アクターに関連付けられています。 LuoYuは10年以上前から存在しており、主に外国の外交機関や防衛および通信セクターの機密情報を扱う企業など、中国に所在するエンティティを標的にした攻撃を実行しています。
LuoYuは以前、侵害されたWebサイトを使用する攻撃を使用していましたが、後に水飲み場として使用されました。 2020年に、攻撃者はWinDealerマルウェアの新しい配布方法に移行しました。攻撃者は、正当なアプリケーションの更新プロセスを悪用し始めました。
研究者は、WinDealerの展開に使用された、10年前にデジタル署名およびコンパイルされた実行可能ファイルに遭遇しました。紛らわしいのは、ソフトウェアアップデーターがパッチを取得するために使用するハードコードされたURLを使用することです。アドレスにあるファイルは悪意のあるものではありませんでしたが、まれに、更新によって正当な更新ではなくWinDealerのインスタンスがダウンロードされることがありました。
WinDealerは幅広い機能を備えており、モジュラーツールであるため、オペレーターはファイルの読み取りおよび書き込み操作の実行、システム情報の取得、ファイルの双方向転送、リモートコマンドの実行、スクリーンショットのキャプチャを行うことができます。
マルウェアのインフラストラクチャは、信じられないように思われるものです。分析によると、WinDealerは、ほとんどの場合、通常の正当な実行可能ファイルを返すプレーンなHTTP要求を使用して配布されます。さらに、マルウェアが通信できるIPとドメインの範囲は、さらに大規模なものであっても、法外に思えます。
マルウェアを使用した攻撃の側に人がいる可能性が高いと研究者に思わせた脅威アクター。