中国のハッカーは、3年間のキャンペーンで「めったに見られない」Windowsメカニズムの悪用を実行します – zdnet.com

Chinese hackers perform 'rarely seen' Windows mechanism abuse in three-year campaign - zdnet.com
www.zdnet.com
Chinese hackers perform 'rarely seen' Windows mechanism abuse in three-year campaign - zdnet.com
Operation CuckooBees is an elaborate operation against companies in the US and beyond.

Winntiは、少なくとも2010年から活動しており、膨大な数のマルウェアとツールを自由に使用して動作する脅威グループです。
Winntiの多段階感染チェーンであるOperationCuckooBeesと呼ばれるものは、エンタープライズリソースプランニング(ERP)ソフトウェアの脆弱性の悪用とSpyderローダーの展開から始まります。
特に注目すべきは、WinntiがMicrosoft Windows Common Log File System(CLFS)を悪用するように設計された悪意のあるソフトウェアであるStashlogを使用していることです。
実行可能ファイルは、感染チェーンの一部としてペイロードをCLFSログファイルに隠します。
攻撃者はWindowsCLFSメカニズムとNTFSトランザクション操作を利用して、ペイロードを隠し、従来のセキュリティ製品による検出を回避できるようにしたと、Cyber​​easonは述べ、このようなCLFSの悪用はめったに見られないと付け加えました。
マルウェアの作成者は、感染チェーンを複数の相互依存するフェーズに分割することを選択しました。

コメント

タイトルとURLをコピーしました