innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

警戒必須!新マルウェア「Latrodectus」がフィッシングキャンペーンで拡散中

警戒必須!新マルウェア「Latrodectus」がフィッシングキャンペーンで拡散中 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-03 05:24 by admin

2024年3月初旬から、Latrodectusという新しいマルウェアローダーが、フィッシングキャンペーンを通じて配信されていることが確認された。このマルウェアは、以前よく知られていたIcedIDマルウェアの後継と見なされている。Elastic Security Labsの研究者によると、これらのキャンペーンは、WMIの機能を利用してmsiexec.exeを呼び出し、WEBDAV共有にリモートホストされたMSIファイルをインストールする、大きなJavaScriptファイルを使用する特徴的な感染チェーンを含んでいる。

Latrodectusは、QakBot、DarkGate、PikaBotなどの追加ペイロードを展開するために設計されたマルウェアに一般的に期待される標準的な機能を備えており、脅威アクターが様々な後続の活動を行うことを可能にする。このマルウェアは、正当なソフトウェアに関連するライブラリに偽装し、ソースコードの難読化を行い、デバッグ環境やサンドボックス環境での実行をさらに進めることを防ぐためのアンチアナリシスチェックを実行する。また、Windowsホスト上での永続性を確立し、HTTPS経由でコマンドアンドコントロール(C2)サーバーと連絡を取り、システム情報の収集、自身の更新・再起動・終了、およびシェルコード、DLL、実行可能ファイルの実行などのコマンドを受信する。

Forcepointは、DarkGateマルウェアを配信するために請求書テーマの電子メールルアを使用するフィッシングキャンペーンを解析した。この攻撃チェーンは、QuickBooksの請求書として偽装したフィッシングメールから始まり、悪意のあるJavaアーカイブ(JAR)にリンクする埋め込みリンクをクリックしてJavaをインストールするようユーザーに促す。また、マイクロソフト365とGmailのセッションクッキーを収穫し、多要素認証(MFA)の保護を回避するために、Tycoonと呼ばれるフィッシングアズアサービス(PhaaS)プラットフォームの更新版が使用されている。

他の社会工学キャンペーンでは、CalendlyとRufusを偽装したGoogle広告を利用して、D3F@ck Loaderという別のマルウェアローダーを拡散し、最終的にRaccoon StealerとDanaBotをドロップしている。D3F@ck Loaderのケースは、マルウェアアズアサービス(MaaS)が進化を続け、信頼されたセキュリティ対策を回避するために[Extended Validation]証明書を利用していることを示している。また、新たなスティーラーマルウェアファミリーの出現や、Remcosリモートアクセストロイの木馬(RAT)が、その能力を強化するためにPrivateLoaderモジュールを使用していることが確認されている。

【ニュース解説】

2024年3月初旬から、新たなマルウェアローダー「Latrodectus」がフィッシングキャンペーンを通じて配信されていることが確認されました。このマルウェアは、以前から知られているIcedIDマルウェアの後継と見なされています。Latrodectusは、特に大きなJavaScriptファイルを利用し、WMIの機能を使ってmsiexec.exeを呼び出し、WEBDAV共有にリモートホストされたMSIファイルをインストールするという特徴的な感染チェーンを持っています。

Latrodectusは、追加のペイロードを展開するために設計されたマルウェアに期待される標準的な機能を備えており、脅威アクターが様々な後続の活動を行うことを可能にします。このマルウェアは、正当なソフトウェアに関連するライブラリに偽装し、ソースコードの難読化やアンチアナリシスチェックを実行することで、デバッグ環境やサンドボックス環境での実行を防ぎます。さらに、Windowsホスト上での永続性を確立し、HTTPS経由でコマンドアンドコントロール(C2)サーバーと連絡を取り、システム情報の収集や自身の更新・再起動・終了、シェルコード、DLL、実行可能ファイルの実行などのコマンドを受信します。

このマルウェアの出現は、サイバーセキュリティの世界において、フィッシングキャンペーンやマルウェアの進化が止まることなく続いていることを示しています。Latrodectusのようなマルウェアは、脅威アクターにより多様な攻撃手法を提供し、既存のセキュリティ対策を回避する能力を持っています。これにより、組織や個人は、セキュリティ対策を常に更新し、教育と意識向上に努める必要があります。

また、LatrodectusがIcedIDの後継と見なされていることは、マルウェア開発者間の協力や知識の共有が行われていることを示唆しています。これは、マルウェアの開発がより専門化し、複雑化していることを意味し、セキュリティ研究者や防御側にとって新たな挑戦をもたらしています。

このような状況では、組織や個人は、フィッシング詐欺に対する警戒を怠らず、メールのリンクや添付ファイルを開く前に十分な確認を行うこと、定期的なセキュリティトレーニングを実施すること、セキュリティソフトウェアを最新の状態に保つことが重要です。また、多要素認証(MFA)のような追加のセキュリティ層を導入することで、セキュリティを強化することができます。セキュリティは、常に進化する脅威に対応するために、継続的な努力が必要です。

from Latrodectus Malware Loader Emerges as IcedID's Successor in Phishing Campaigns.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 警戒必須!新マルウェア「Latrodectus」がフィッシングキャンペーンで拡散中

Latest News