innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

新版ValleyRATマルウェア、日本組織を狙う: セキュリティ対策回避の進化を示す

新版ValleyRATマルウェア、日本組織を狙う: セキュリティ対策回避の進化を示す - innovaTopia - (イノベトピア)

Last Updated on 2024-06-12 05:15 by admin

サイバーセキュリティ研究者たちは、新たなキャンペーンの一環として配布されているマルウェア「ValleyRAT」の更新版を発見した。この最新版では、スクリーンショットのキャプチャ、プロセスフィルタリング、強制シャットダウン、Windowsイベントログのクリアなどの新しいコマンドが導入されている。ValleyRATは以前、中国語を話すユーザーや日本の組織を対象としたフィッシングキャンペーンに関連して、Purple FoxやGh0st RATトロイの木馬の変種であるSainbox RAT(別名FatalRAT)など、様々なマルウェアファミリーを配布していたと報告されている。このマルウェアは、中国に拠点を置く脅威アクターによる作業と評価され、感染したホストに機密情報を収集し、追加のペイロードをドロップする能力を持っている。マルウェアの感染プロセスは、HTTPファイルサーバー(HFS)を使用して「NTUSER.DXM」というファイルをフェッチし、それをデコードしてDLLファイルを抽出し、「client.exe」を同じサーバーからダウンロードするダウンローダーから始まる。このDLLは、Qihoo 360とWinRARのアンチマルウェアソリューションを検出し終了させるよう設計されており、その後、ダウンローダーはさらに3つのファイル「WINWORD2013.EXE」、「wwlib.dll」、「xig.ppt」をHFSサーバーから取得する。次に、マルウェアはMicrosoft Wordに関連付けられた正規の実行可能ファイル「WINWORD2013.EXE」を使用して起動し、「wwlib.dll」をサイドロードしてシステム上に永続性を確立し、「xig.ppt」をメモリにロードする。ここから、復号化された「xig.ppt」は、svchost.exeにシェルコードを注入するメカニズムとして実行プロセスを続行する。マルウェアはsvchost.exeを一時停止プロセスとして作成し、プロセス内にメモリを割り当て、そこにシェルコードを書き込む。シェルコードは、コマンドアンドコントロール(C2)サーバーに接続し、DLLファイルの形でValleyRATペイロードをダウンロードするための必要な設定を含んでいる。ValleyRATは、最終ペイロードをシステムに感染させるために複雑な多段階プロセスを利用し、DLLサイドローディングと組み合わせて、ホストベースのセキュリティソリューション、例えばEDRやアンチウイルスアプリケーションをより効果的に回避するように設計されている。

【ニュース解説】

サイバーセキュリティの研究者たちが、新たなキャンペーンの一環として配布されている「ValleyRAT」と呼ばれるマルウェアの更新版を発見しました。この最新版は、スクリーンショットのキャプチャ、プロセスフィルタリング、強制シャットダウン、Windowsイベントログのクリアなど、新しいコマンドを導入しています。ValleyRATは、以前にも中国語を話すユーザーや日本の組織を狙ったフィッシングキャンペーンで使用されており、機密情報の収集や追加のペイロードを感染したホストにドロップする能力があると評価されています。

このマルウェアは、複雑な多段階プロセスを利用してシステムに感染させ、DLLサイドローディング技術を組み合わせることで、EDR(エンドポイント検出・対応)やアンチウイルスアプリケーションなどのホストベースのセキュリティソリューションを回避するように設計されています。このような高度な回避技術は、マルウェアの検出と対策をより困難にしています。

ValleyRATの存在とその進化は、サイバーセキュリティの世界において重要な意味を持ちます。まず、このマルウェアは、攻撃者がどのようにしてセキュリティ対策を回避し、標的のシステムに侵入し、機密情報を盗み出すことができるかの一例を示しています。また、サイバー攻撃者が常に新しい手法を開発し、既存のセキュリティ対策を無効化しようとしていることを示しており、セキュリティ研究者や企業にとって、常に警戒を怠らず、セキュリティ対策を更新し続ける必要があることを強調しています。

さらに、ValleyRATのようなマルウェアは、個人や企業のデータだけでなく、国家安全保障にも影響を与える可能性があります。機密情報が盗まれることで、経済的損失や政治的不安定を引き起こす可能性があります。このため、サイバーセキュリティは単なるITの問題ではなく、より広い社会的、政治的な問題として捉える必要があります。

一方で、ValleyRATのようなマルウェアの分析は、セキュリティ研究者にとって貴重な情報源となります。攻撃者の手法を理解することで、より効果的な防御策を開発し、将来の攻撃を防ぐことが可能になります。また、このような研究は、セキュリティコミュニティ内での知識共有を促進し、全体としてのセキュリティレベルを向上させることにも寄与します。

最後に、ValleyRATの出現は、サイバーセキュリティ規制や政策にも影響を与える可能性があります。国家や国際的なレベルでの協力が必要とされ、サイバー攻撃に対する共通の対策や対応策の策定が求められます。また、企業や組織に対しても、セキュリティ対策の強化や従業員教育の徹底など、より積極的な対策が求められることになります。

from China-Linked ValleyRAT Malware Resurfaces with Advanced Data Theft Tactics.

投稿者アバター
admin
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 新版ValleyRATマルウェア、日本組織を狙う: セキュリティ対策回避の進化を示す

Latest News