中国にリンクされたToddyCatAPTPioneersの新しいスパイウェア from darkreading.com


今週グループの活動を最初に検出したKasperskyの研究者は、ツールを、組織の公開Webサーバーでの長期的な永続化を可能にし、攻撃者が横方向に移動して侵害されたネットワークに深く侵入できるようにするように設計されたマルウェアであると説明しました。
「調査の結果、攻撃者がアップロードしたソースコードの一部を検出でき、任意のコマンドの実行、ファイルのダウンロード、TCPパケットの内部ホストへの転送に使用されたことがわかりました」とDedola氏は言います。
「任意のCコードを実行する機能により、攻撃者はマルウェアの機能を無限に拡張できます」と彼は言います。
Kasperskyの調査によると、攻撃者はSamuraiを使用して、ToddyCatが攻撃に使用しているもう1つのこれまでに見られなかったマルウェアツール「Ninja」を起動しました。
そのため、攻撃者はマルウェアを使用して特定のマシンを内部コマンドアンドコントロールサーバー(C2)として指定できるため、外部サーバーへの接続が制限され、検出される可能性が低くなります。
「忍者トロイの木馬もモジュール式のマルウェアであり、攻撃者が簡単に拡張できる機能を備えています」と彼はDark Readingに語り、マルウェアはメモリ内でのみ実行され、ファイルシステムには表示されないため、検出が困難になると付け加えました。

コメント

タイトルとURLをコピーしました