Vidar マルウェアが新しい戦術を使用して検出を回避し、アクティビティを匿名化 from thehackernews.com
security summary
Vidar マルウェアの背後にある攻撃者はバックエンド インフラストラクチャに変更を加えており、その手口に関する公開に応じてオンラインの痕跡を再構築して隠蔽しようとしていることがわかります。
「Vidar の脅威アクターはバックエンド IP インフラストラクチャをローテーションし続けており、モルドバとロシアのプロバイダーを優遇している」とサイバーセキュリティ企業 Team Cymru は The Hacker News と共有した新しい分析で述べた。
Vidar アクターが使用する主要なドメインは my-odin[.]com で、パネルの管理、アフィリエイトの認証、ファイル共有を行うためのワンストップの宛先として機能します。
「少なくとも一部は他の多数の良性ユーザーによっても利用されていた VPN インフラストラクチャを使用することにより、Vidar 攻撃者が一般的なインターネット ノイズに隠れて管理活動を匿名化する措置を講じている可能性があることは明らかです」と Team Cymru は指摘しました。
Vidar インフラストラクチャは、my-odin[.]com ドメインをホストする新しい IP アドレス 185.229.64[.]137 の導入と、オペレータは自分のアカウントとマルウェア リポジトリにアクセスできます。
この調査結果は「Vidarの『舞台裏』の活動についてさらなる洞察を提供し、その管理インフラストラクチャの進化と、潜在的にその痕跡を隠蔽するために脅威アクターが講じた措置の証拠を示している」と同社は述べた。
コメント