研究者によると、脅威アクターはCLSIDハイジャックを利用して独自の永続化メカニズムを獲得し、定期的なNGEN最適化スキャン中にMucorAgentバックドアを復元できるようになっているという。
攻撃者はまた、リモート監視・管理(RUM)を可能にするRemote Utilitiesと呼ばれるRMMツールも導入していた。
「CLSIDハイジャックとNGENを併用するこの手法は、私たちの観察では前例のないものです」と研究者らは付け加え、これにより攻撃者は標的の環境内で許可なく実行し、長期間アクセスできるようになると付け加えた。
コメント