Blackgearサイバースパイキャンペーンがブログを悪用, ソーシャルメディアの投稿

Blackgearは、以前に検出されたサイバースパイキャンペーンであり、 2008. このマルウェアは日本の組織を標的にすることが知られています, 韓国と台湾, ターゲットは主に公共部門の機関とハイテク企業です.

トレンドマイクロのレポートによると 2016, マルウェアキャンペーンは、さまざまなマルウェアツールが配備されている日本の組織を対象としていました, ElirksBackdoorなど. Blackgearキャンペーンの継続的な攻撃と持続性は、サイバー犯罪者が適切に組織化され、最近のサイバーセキュリティで指摘されているように定期的に更新および「微調整」される独自のツールを開発したことを示しています。 報告.

ブラックギアの悪意のある特徴

“Blackgearの注目すべき特徴は、検出を回避するために攻撃が行われる度合いです。, ブログを悪用する, マイクロブログ, とソーシャルメディアサービスは、そのコマンドアンドコントロールを隠すために (C&C) 構成“, トレンドマイクロは言った. このテクニック, これは、マルウェア内にコマンドとコントロールの詳細を埋め込む通常の方法とは異なり、悪意のあるオペレーターがCをすばやく変更するのに役立ちます。&必要なときはいつでもCサーバー. この巧妙な戦術により、犯罪者は希望する限りキャンペーンを実行できます。.

どうやら, Blackgearは、最新の操作でProtuxのバージョンと一緒にMaradeダウンローダーを使用しています. これらの悪意のあるサンプルを分析している間, 研究者は、ブログやソーシャルメディアの投稿で暗号化された構成を見つけました。これは、マルウェアツールが同じサイバー犯罪集団によって作成されたことを示している可能性があります。.

最近のBlackgear攻撃の仕組みをよりよく理解するために、研究者は、犯罪者が標的に対して使用したツールと実践を相互に関連付けました. Blackgearの攻撃チェーンは次のようになります:

• 攻撃者はおとり文書または偽のインストーラーファイルを使用します, これはスパムメールを介して拡散し、潜在的な被害者をだまして悪意のあるコンテンツとやり取りさせます.
• おとり文書は、マシンのTempフォルダーにドロップするMaradeダウンローダーを抽出するように設定されています, ファイルサイズを50MB以上に増やし、従来のサンドボックスソリューションをバイパスする.
• 次に、Maradeは、感染したホストがインターネットに接続できるかどうか、およびウイルス対策プログラムがインストールされているかどうかを確認します。.
  
• 影響を受けるホストがインターネットに接続でき、AV保護がない場合, Maradeは、Blackgearが管理する公開ブログに接続して続行します (またはソーシャルメディアの投稿) 暗号化されたコマンドと制御の構成をたどる. インターネットに接続されていない場合, マルウェアはCを使用します&コードに埋め込まれたCの詳細.
• 暗号化された文字列は、悪意のあるトラフィックがAVプログラムによって検出されないようにするためのマグネットリンクとして機能します. それで, Maradeは暗号化された文字列を復号化し、Cを取得します&Cサーバー情報.
• 次のステップは、Protuxバックドアの展開です. C&Cサーバーは影響を受けるマシンにProtuxを送信し、それを実行します. Protuxは、rundll32ダイナミックリンクライブラリを悪用して実行されます (DLL). ホストのネットワークをテストします, Cを取得します&別のブログのCサーバー, RSAアルゴリズムを使用してセッションキーを生成し、Cに情報を送信します&Cサーバー, 研究者は説明した.
• ついに, Blackgearのマルウェアツールは、RAR自己解凍型実行可能ファイルを介してターゲットシステムに配信されます (SFX) ファイルまたはオフィスのVisualBasicスクリプト (VBScript) おとり文書を作成するには.

ブラックギアキャンペーンの範囲

Blackgearは少なくとも10年間活動しています, 秘密の攻撃でさまざまな業界をターゲットにする. マルウェアの力は、従来のセキュリティソフトウェアを回避する方法に由来しているようです. そのような手法の1つは、攻撃ごとに2段階の感染を展開することです。.

最初の段階ではプロファイリングと偵察のみが必要になるため, ターゲットが侵入に気付かない可能性が非常に高いです. Blackgearの作成者はマイクロブログとソーシャルメディアサービスを使用してCを取得するため、バックドアがターゲットシステムに正常にドロップされた後でも、侵入の兆候はない可能性があります。&C情報.

研究者によると, Blackgearの攻撃は、組織が脅威やサイバー犯罪に積極的に対応できるセキュリティ戦略を開発および実装する必要性を示しています。. そのような戦略の1つに、脅威ハンティング戦略があります。, 攻撃の指標を簡単に検証して、侵入が1回限りの試みなのか、より大規模なキャンペーンの一部なのかを判断できます。.