ヨルダン外務省からの新しい埼玉バックドアターゲットオフィシャル from thehackernews.com
security summary
「しかし、添付された脅威は、さまざまなマルウェアではありませんでした。代わりに、高度な持続的脅威(APT)に通常関連付けられている機能と手法を備えていました。」
新たに観察されたフィッシングメッセージには、武器化されたMicrosoft Excelドキュメントが含まれており、これを開くと、潜在的な被害者にマクロを有効にするよう促し、マルウェアのペイロード( 」update.exe」)をドロップする悪意のあるVisual Basic Application(VBA)マクロを実行します。
「結局、これは基本的に、このマルウェアがDNS応答内でタスクを受信していることを意味します」とGutierrez氏は説明しました。
DNSトンネリングは、それが呼ばれるように、DNSクエリと応答で他のプログラムまたはプロトコルのデータをエンコードすることを可能にします。
「このマルウェアの開発には多大な労力が費やされているため、他のステルス情報スティーラーのように、一度実行してから自分自身を削除するタイプではないようです」とGutierrez氏は述べています。
「おそらく、動作検出のトリガーを回避するために、このマルウェアは永続化メソッドも作成しません。代わりに、Excelマクロに依存して、スケジュールされたタスクを介して永続性を作成します。」
コメント