JSOutProx として知られる複雑な JavaScript リモート アクセス トロイの木馬 (RAT) の背後にいる洗練された脅威グループが、中東の組織を標的としたマルウェアの新バージョンをリリースしました。
サイバーセキュリティサービス会社リセキュリティは、金融顧客をターゲットにし、企業をターゲットとする場合には偽のSWIFT支払い通知を配信し、民間人をターゲットとする場合にはMoneyGramテンプレートを配信するJSOutProxマルウェアに関連する複数のインシデントの技術的詳細を分析したと、同社が今週発表したレポートで述べた。この脅威グループは、インドと台湾の政府機関のほか、フィリピン、ラオス、シンガポール、マレーシア、インドの金融機関を標的にしており、現在は サウジアラビア.
JSOutProx の最新バージョンは、開発の観点から非常に柔軟でよく組織されたプログラムであり、攻撃者が被害者の特定の環境に合わせて機能を調整できるようにする、と Resecurity の CEO である Gene Yoo 氏は述べています。
「これは複数の段階からなるマルウェア インプラントであり、複数のプラグインが組み込まれています」と彼は言います。 「被害者の環境に応じて、ウイルスはすぐに侵入し、有効になっているプラグインに応じて、実際に被害者を出血させたり、環境を汚染したりします。」
この攻撃は、Solar Spider として知られるサイバー犯罪グループによる最新のキャンペーンであり、JSOutProx マルウェアを使用する唯一のグループであると思われます。グループの目標に基づいて、通常はインドの組織だけでなく、アジア太平洋、アフリカ、 中東地域 ――それはおそらく中国と関係があると思われますが、 分析で述べられた安心感.
「ターゲットのプロファイリングと、インフラストラクチャで得た詳細の一部から、それが中国に関連していると疑えます」と、Yoo 氏は言います。
「高度に難読化された…モジュラープラグイン」
JSOutProx は金融業界ではよく知られています。たとえばビザは、2023年にアジア太平洋地域の複数の銀行を標的としたものも含め、この攻撃ツールを使用したキャンペーンを文書化したと同社は述べた。 12月に年2回の脅威レポートを発行.
リモート アクセス トロイの木馬 (RAT) は「高度に難読化された JavaScript バックドアであり、モジュール式プラグイン機能を備えており、シェル コマンドの実行、ファイルのダウンロード、アップロード、実行、ファイル システムの操作、永続性の確立、スクリーンショットの取得、キーボードとマウスの操作が可能です」 」とビザは報告書で述べた。 「これらの独自の機能により、マルウェアはセキュリティ システムによる検出を回避し、標的となった金融機関からさまざまな機密の支払い情報や金融情報を取得できます。
JSOutProx は通常、zip アーカイブ内の財務書類の PDF ファイルとして表示されます。しかし実際には、被害者がファイルを開いたときに実行されるのは JavaScript です。攻撃の第 14 段階では、システムに関する情報が収集され、ダイナミック DNS を介して難読化されたコマンド アンド コントロール サーバーと通信します。攻撃の第 XNUMX 段階では、約 XNUMX 個のプラグインのいずれかをダウンロードして、Outlook やユーザーの連絡先リストへのアクセスの取得、システム上のプロキシの有効化または無効化など、さらなる攻撃を実行します。
RAT は、正規のものであるように見せるために、GitHub (または最近では GitLab) からプラグインをダウンロードします。
「JSOutProxの新バージョンの発見は、GitHubやGitLabなどのプラットフォームの悪用と相まって、これらの悪意のある攻撃者の絶え間ない努力と洗練された一貫性を強調しています」とResecurityは分析の中で述べている。
中東金融からのデータを収益化する
Visaの脅威レポートによると、Solar Spiderがユーザーを侵害すると、攻撃者は主要なアカウント番号やユーザー資格情報などの情報を収集し、被害者に対してさまざまな悪意のある行為を実行します。
「JSOutProxマルウェアは、世界中の金融機関、特にAP地域の金融機関がこのマルウェアの標的にされる頻度が高くなっているため、これらの金融機関に深刻な脅威をもたらしている」とVisaの報告書は述べている。
企業はマルウェアの脅威を軽減するために、一方的な不審な通信に対処する方法について従業員を教育する必要があるとビザは述べた。さらに、再感染を防ぐために、マルウェアのインスタンスを調査し、完全に修復する必要があります。
ソーラー・スパイダーは最も成功した企業に狙いを定めているため、大企業や政府機関がこのグループに攻撃される可能性がより高いとリセキュリティのユー氏は言う。しかし、ほとんどの場合、企業は脅威に特化した措置を講じる必要はなく、代わりに多層防御戦略に重点を置くと同氏は言う。
「ユーザーは、中国軍が攻撃しているように、空にある光る物体を見ないようにすることに集中すべきですが、より良い基盤を築く必要があることに集中すべきです」と、Yoo 氏は言います。 「パッチ適用、ネットワークのセグメンテーション、脆弱性管理が適切に行われている。そうすれば、おそらくユーザーに影響を与えることはありません。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
