GoldenJackal APT グループをご紹介します。遠吠えは期待しないでください from securelist.com
security summary
スケジュールされたタスクは、実行時に変更されるハードコードされた XML テンプレートを使用して作成され、同じマルウェア ファイル パスを使用してファイル システムにドロップされますが、拡張子は .exe ではなく .xml と異なります。
生成された XML ファイルは、Windows schtasks.exe ユーティリティで使用されてタスクを作成します。
通常、マルウェアは「/0」または「/1」オプションと、取得したプロファイル ID をロードするために使用される「-n」オプションを使用して実行されます。
このプログラムは、システムをあらゆるマルウェアに感染させるために使用できる柔軟なツールとして設計されました。
マルウェアがクリーンなシステムで起動し、親プロセスがexplorer.exeで、ファイルがリムーバブル ドライブにある場合、動作は次のようになります。
2 つの引数を指定して実行すると、マルウェアは最初の引数を使用して以前に生成されたバイナリ ファイルをロードし、すべての情報を 2 番目の引数で指定されたディレクトリに抽出します。
コメント