VBCloud(VBShower)バックドアは、暗号化されたファイルを使用して設定を復号し、親スクリプトによってC2サーバーに送信します。
スクリプトは、暗号化されたペイロードが格納されたファイル名を含むプロセス情報を収集し、それを実行します。
また、被害者に混乱を招かないよう、ファイルからデータを抽出します。
実行プロセス中にコマンドラインは実行されませんでした。
この攻撃は、悪意のある電子メールによって初めて検出されました。
2025年前半のクラウドアトラスの活動:何が変わったか from securelist.com
security summaryVBCloud(VBShower)バックドアは、暗号化されたファイルを使用して設定を復号し、親スクリプトによってC2サーバーに送信します。
スクリプトは、暗号化されたペイロードが格納されたファイル名を含むプロセス情報を収集し、それを実行します。
また、被害者に混乱を招かないよう、ファイルからデータを抽出します。
実行プロセス中にコマンドラインは実行されませんでした。
この攻撃は、悪意のある電子メールによって初めて検出されました。
コメント