「tsmsrv.dll」からの悪意のあるコードは Windows コマンドライン シェルに挿入され、基本的には無許可のプロセスによってメモリに読み込まれたかのように動作します。
攻撃者は任意の名前を使用して、システムの名前、ローカル IP アドレス、実行中のプロセス、使用可能なアカウント、システムが属しているドメインなどの情報を盗みます。
「悪意のあるファイルはメモリにロードされ、セキュリティ製品による一部の動作検出を回避する可能性がある」と研究者らは述べた。
中国のAPTグループが新たなUNAPIMONバックドアを使った防衛回避戦術を展開 from csoonline.com
security summary「tsmsrv.dll」からの悪意のあるコードは Windows コマンドライン シェルに挿入され、基本的には無許可のプロセスによってメモリに読み込まれたかのように動作します。
攻撃者は任意の名前を使用して、システムの名前、ローカル IP アドレス、実行中のプロセス、使用可能なアカウント、システムが属しているドメインなどの情報を盗みます。
「悪意のあるファイルはメモリにロードされ、セキュリティ製品による一部の動作検出を回避する可能性がある」と研究者らは述べた。
コメント