「DecoyClient」サンプルは、検出を避けるためにランダム化された RAT サンプルに似ていることが判明しました。
サンプルにはループバック アドレスのみが含まれており、C&C サーバーは含まれていませんでした。
「アセンブリ名は Decoy Client で、構成は AsyncRAT の例のように暗号化されていません」と研究者は述べています。
キャンペーンの検出シグネチャは、オープンソースの Suricata 侵入検出システムで使用できます。
米国の主要なインフラストラクチャ従業員をターゲットとした数か月にわたる AsyncRAT キャンペーン from csoonline.com
security summary「DecoyClient」サンプルは、検出を避けるためにランダム化された RAT サンプルに似ていることが判明しました。
サンプルにはループバック アドレスのみが含まれており、C&C サーバーは含まれていませんでした。
「アセンブリ名は Decoy Client で、構成は AsyncRAT の例のように暗号化されていません」と研究者は述べています。
キャンペーンの検出シグネチャは、オープンソースの Suricata 侵入検出システムで使用できます。
コメント