Andariel が DTrack と Maui ランサムウェアを展開 from securelist.com
security summary
この初期のインシデントのマルウェアは 2021 年 4 月 15 日にコンパイルされ、既知のすべてのサンプルでコンパイル日が同じであるため、このインシデントはおそらく Maui ランサムウェアが初めて関与したものです。
CISA の報告書には、ランサムウェアが北朝鮮の攻撃者によるものであると考える有益な情報はありませんが、Maui を最初の標的システムに展開する約 10 時間前に、グループが有名な DTrack マルウェアの亜種を標的に展開したことが判明しました。
Maui ランサムウェアは、同じサーバー上で DTrack の亜種から 10 時間後に検出されました。
同じ被害者から、異なるログイン資格情報を使用する追加の DTrack マルウェア (MD5 87e3fc08c01841999a8ad8fe25f12fe4) を発見しました。
mini.ps1 スクリプトは、bitsadmin.exe を介して上記の DTrack マルウェアをダウンロードして実行します。
また、DTrack マルウェア (MD5 739812e2ae1327a94e441719b885bd19) が、シマンテックによって公開/報告された「Backdoor.Preft」マルウェア (MD5 2f553cba839ca4dab201d3f8154bae2a) と同じシェルコード ローダーを使用していることを発見しました。
コメント