サイバーセキュリティ研究者らは、悪名高い DarkGate リモート アクセス トロイの木馬 (RAT) と、Ducktail インフォスティーラーの背後にあるベトナムを拠点とする金融サイバー犯罪活動との関係を明らかにしました。
WithSecure の研究者 2022年のダックテイルの活動を発見は、英国、米国、インドの組織に対する複数の感染試みを検出した後、DarkGate の調査を開始しました。
「おとり文書とターゲティングが最近の Ducktail 情報窃取キャンペーンと非常によく似ていることがすぐに明らかになり、DarkGate キャンペーンからのオープンソース データを介して、同じ攻撃者/グループによって使用されている可能性が非常に高い他の複数の情報窃盗活動に移行することが可能でした」 」と報告書は指摘している。
ダークゲートとダックテイルの関係
ダークゲートは バックドアマルウェア 情報窃盗、クリプトジャッキング、Skype、Teams、メッセージを使用したマルウェア配布など、幅広い悪意のある活動が可能です。
このマルウェアは、感染したデバイスからユーザー名、パスワード、クレジット カード番号、その他の機密情報を含むさまざまなデータを盗み、ユーザーの認識や同意なしに感染したデバイス上の暗号通貨をマイニングするために使用される可能性があります。
これは、感染したデバイスにランサムウェアを配信し、ユーザーのファイルを暗号化し、復号化するための身代金の支払いを要求するために使用される可能性があります。
WithSecure の上級脅威インテリジェンス アナリストである Stephen Robinson 氏は、DarkGate マルウェアの機能は大まかに言えば、2018 年の最初の報告以来変わっていないと説明しています。
「これは常にスイスアーミーナイフ、多機能マルウェアでした」と彼は言います。 「とはいえ、それ以来、作成者によって繰り返し更新と修正が加えられてきました。これは、これらの悪意のある機能の実装を改善し、AV/マルウェア検出の軍拡競争に遅れないようにするためであると推測できます。」
彼は、DarkGate キャンペーン (およびその背後にいる攻撃者) は、誰をターゲットにしているのか、使用しているおとりや感染ベクトル、ターゲットに対するアクションによって区別できると指摘しています。
「このレポートが焦点を当てている特定のベトナムのクラスターは、複数の種類のマルウェアを使用した複数のキャンペーンで同じターゲティング、ファイル名、さらにはおびき寄せるファイルを使用していました」とロビンソン氏は言います。
彼らは、作成された各ファイルに独自のメタデータを追加するオンライン サービスを使用して、PDF ルアー ファイルを作成しました。 そのメタデータにより、さまざまなキャンペーン間にさらに強いつながりが与えられました。
また、同じデバイス上に複数の悪意のある LNK ファイルを作成し、メタデータを消去しなかったため、さらなるアクティビティがクラスター化される可能性がありました。
DarkGate と Ducktail の相関関係は、ルアー ファイル、ターゲット パターン、配信方法などの非技術的なマーカーから判断され、15 ページにまとめられています。 レポート.
「ルアーファイルやメタデータなどの非技術的な指標は、非常に影響力のある法医学的手がかりとなります。 ルアー ファイルは、被害者をマルウェアの実行に誘導するおとりとして機能し、攻撃者の手口、潜在的なターゲット、進化する技術についての貴重な洞察を提供します」と、クリティカル スタートのサイバー脅威調査シニア マネージャー、キャリー ギュンサー氏は説明します。
同様に、メタデータ (「LNK ドライブ ID」などの情報や Canva などのサービスからの詳細) は、さまざまな攻撃や特定の攻撃者にわたって持続する可能性のある、識別可能な痕跡やパターンを残す可能性があります。
「これらの一貫したパターンを分析すると、さまざまなキャンペーン間のギャップを埋めることができ、研究者は、たとえマルウェアの技術的フットプリントが異なっていても、それらを共通の加害者によるものとみなすことができます」と彼女は言います。
Menlo Security のサイバーセキュリティ専門家である Ngoc Bui 氏は、同じ脅威アクターに関連するさまざまなマルウェア ファミリ間の関係を理解することが不可欠であると述べています。
「より包括的な脅威プロファイルを構築し、これらの脅威アクターの戦術と動機を特定するのに役立ちます」とブイ氏は言います。
たとえば、研究者が DarkGate、Ducktail、Lobshot、Redline Stealer の間の関連性を発見した場合、単一の攻撃者またはグループが複数のキャンペーンに関与していると結論付けることができる可能性があり、これは高度な巧妙化を示唆しています。
「ランサムウェアのキャンペーンや取り組みで見られるように、アナリストが複数の脅威グループが連携しているかどうかを判断するのにも役立つ可能性があります」とブイ氏は付け加えた。
MaaS はサイバー脅威の状況に影響を与える
ブイ氏は、サービスとしての DarkGate の可用性がサイバーセキュリティの状況に重大な影響を与えると指摘しています。
「これにより、技術的な専門知識が不足している可能性のあるサイバー犯罪者志望者の参入障壁が低くなります」とブイ氏は説明します。 「その結果、より多くの個人やグループが DarkGate のような高度なマルウェアにアクセスして展開できるようになり、全体的な脅威レベルが高まります。」
Bui 氏は、MaaS (malware-as-a-service) 製品はサイバー犯罪者に便利でコスト効率の高い攻撃手段を提供すると付け加えました。
サイバーセキュリティ アナリストにとって、これは課題となります。新しい脅威に継続的に適応し、複数の攻撃者が同じマルウェア サービスを使用する可能性を考慮する必要があるからです。
また、マルウェアを使用する攻撃者ではなく、マルウェア自体が開発者にクラスター化する可能性があるため、マルウェアを使用する攻撃者の追跡が少し難しくなる可能性があります。
防御におけるパラダイムシフト
ギュンター氏は、現代の進化し続けるサイバー脅威の状況をよりよく理解するには、防衛戦略のパラダイムシフトが待ち望まれていると述べています。
「動作ベースの検出シーケンスを採用し、AI と ML を活用することで、異常なネットワーク動作の特定が可能になり、これまでのシグネチャベースの手法の限界を超えています」と彼女は言います。
さらに、脅威インテリジェンスをプールし、業界全体にわたる新たな脅威と戦術に関するコミュニケーションを促進することで、早期の検出と軽減を促進できます。
「ネットワーク構成と侵入テストを含む定期的な監査により、脆弱性を事前に発見できます」とギュンター氏は付け加えます。 「さらに、現代の脅威とフィッシングベクトルを認識する訓練を受けた、十分な情報を備えた従業員が組織の防御の最前線となり、リスク指数を大幅に削減します。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :持っている
- :は
- :not
- $UP
- 2018
- 7
- a
- できる
- 私たちについて
- アクセス
- 越えて
- 行為
- 行動
- 活動
- アクティビティ
- 俳優
- 適応する
- 追加
- 後
- に対して
- AI
- ことができます
- また
- 常に
- an
- アナリスト
- アナリスト
- 分析
- および
- 見かけ上
- です
- 武器
- AS
- 意欲的な
- 引き受けます
- At
- 攻撃
- 試み
- 監査
- 著者
- 賃貸条件の詳細・契約費用のお見積り等について
- バック
- 餌
- バリア
- BE
- になりました
- なぜなら
- になる
- き
- 行動
- 背後に
- さ
- より良いです
- の間に
- BRIDGE
- 建物
- by
- キャンペーン
- キャンペーン
- 缶
- できる
- カード
- 触媒する
- 挑戦する
- 変更
- クラスタ
- コマンドと
- コミュニケーション
- 理解する
- 包括的な
- 結論
- プロフェッショナルな方法で
- 接続
- Connections
- 同意
- 検討
- 整合性のある
- 現代の
- 継続的に
- 便利
- 相関
- コスト効率の良い
- 作成した
- クレジット
- クレジットカード
- 重大な
- cryptocurrency
- クリプトジャッキ
- サイバー
- サイバー犯罪
- サイバー犯罪者
- サイバーセキュリティ
- データ
- 解読する
- 防衛
- 配信する
- 配達
- 厳しい
- 展開します
- 細部
- 検出
- 決定する
- 決定
- Developer
- デバイス
- Devices
- DID
- 異なります
- 差別化された
- 難しい
- 分配します
- ドキュメント
- ドライブ
- 各
- 早い
- 努力
- 受け入れ
- 有効にする
- 包含する
- エントリ
- 本質的な
- さらに
- 進化
- 例
- 実行
- エキスパート
- 専門知識
- 説明
- 家族
- File
- ファイナンシャル
- もう完成させ、ワークスペースに掲示しましたか?
- 名
- 焦点を当てて
- フットプリント
- 法医学
- 助長
- から
- 機能性
- 機能
- さらに
- ギャップ
- 与えた
- グループ
- グループの
- 持ってる
- he
- 助けます
- ことができます
- ハイ
- 非常に
- HTTPS
- ID
- 識別
- 識別
- if
- 衝撃的
- 影響
- 実装
- 意義
- 改善します
- in
- 含めて
- の増加
- インド
- インジケータ
- 個人
- 産業を変えます
- 情報
- 初期
- 洞察
- インテリジェンス
- に
- 貴重な
- 調査
- 関係する
- IT
- ITS
- 自体
- JPG
- キープ
- 知識
- 欠如
- 風景
- コメントを残す
- レベル
- 活用
- ような
- 可能性が高い
- 制限
- LINE
- リンク
- リンク
- 少し
- make
- マルウェア
- サービスとしてのマルウェア(MaaS)
- マネージャー
- 五月..
- 手段
- メッセージ
- メソッド
- かもしれない
- 緩和
- ML
- モダン
- 修正されました
- 手口
- 他には?
- さらに
- 動機
- の試合に
- しなければなりません
- 名
- ネットワーク
- 新作
- 注意
- ノート
- 悪名高いです
- 番号
- of
- 提供
- オファリング
- on
- ONE
- オンライン
- 開いた
- オープンソース
- 操作
- or
- 組織
- 組織
- その他
- でる
- 全体
- 自分の
- パラダイム
- パスワード
- パターン
- 支払い
- 浸透
- フィッシング詐欺
- 枢軸
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポーズ
- 可能性
- 可能
- 潜在的な
- 前
- プロフィール
- 提供します
- レース
- 範囲
- 身代金
- ランサムウェア
- 急速に
- RAT
- 最近
- 認識
- 縮小
- レギュラー
- の関係
- リモート
- リモートアクセス
- 繰り返し
- レポート
- 各種レポート作成
- 研究
- 研究者
- 結果
- リスク
- s
- 前記
- 同じ
- 言う
- セキュリティ
- シニア
- 敏感な
- サービス
- サービス
- 彼女
- シフト
- 重要
- 同様の
- から
- Skype
- 洗練された
- 洗練された
- ソース
- 特定の
- start
- 開始
- Stephen Longfield
- 株
- 作戦
- 強い
- 実質上
- そのような
- 提案する
- 凌駕する
- 戦術
- ターゲット
- ターゲット
- ターゲット
- チーム
- 技術的
- テクニック
- テスト
- より
- それ
- 英国
- アプリ環境に合わせて
- それら
- その後
- ボーマン
- 彼ら
- この
- それらの
- 脅威
- 脅威アクター
- 脅威
- 介して
- ネクタイ
- 〜へ
- 一緒に
- 追跡
- 訓練された
- トロイの
- Uk
- 発見
- 理解する
- 更新しました
- us
- 中古
- ユーザー
- 多様
- 垂直
- 非常に
- 犠牲者
- ベトナム語
- 脆弱性
- ました
- we
- WELL
- した
- いつ
- which
- 誰
- ワイド
- 広い範囲
- ワイプ
- 無し
- 労働人口
- ワーキング
- ゼファーネット