proxy.ps1 という名前のスクリプトは、侵害されたシステムに Cloudflared および GoSt バックドアをインストールしました。
これは、以前は Windows Server 2016 を実行しているコンピューターに対するマルウェア攻撃の 12 件のケースでのみ観察されていました。
また、このスクリプトは、別のコマンド プロンプト プロセスを使用するユーザーによる検出を避けるために、以前に作成したサービスとログ ファイルを削除することもできます。
ある攻撃では、攻撃者はサイバー攻撃に対して脆弱なビジネス自動化プラットフォームへのリモート アクセスに「cloudflared」という名前のカスタム スクリプトを使用しました。
また、レジストリ エントリとレジストリ キーも削除されました。
コメント