Bandook RATの概要
セキュリティ研究者は最近、Bandookと呼ばれるリモート・アクセス・トロイの木馬(RAT)の新たな亜種が、Windowsオペレーティング・システムを侵害する目的でフィッシング攻撃を通じて広がっていることを確認した。
フォーティネットこのキャンペーンは2023年10月に発見され、マルウェアがパスワードで保護された.7z zipファイルへのリンクが埋め込まれたPDFファイル経由で配布されていたことが指摘された。
「被害者がPDFファイルに記載されたパスワードを使用してマルウェアを解凍した後、このソフトウェアはmsinfo32.exeにロードを注入する。
もともと2007年に発見されたBandookは、感染したシステムを遠隔操作することができる多数の機能を備えた本格的なマルウェアである。
サイバーセキュリティ情報収集
2021年7月、スロバキアサイバーセキュリティESET社がその詳細を明らかにした。サイバースパイこのキャンペーンは、Bandook亜種のアップグレード版を使用し、ベネズエラなどのスペイン語圏の企業ネットワークに侵入した。
Bandook RATに対する最新の攻撃
最新の一連の攻撃は、システム情報を収集し、コンピュータの問題を診断するために使用される正規のWindowsシステムファイルであるmsinfo32.exeを解読し、ペイロードをロードするように設計されたインジェクション・コンポーネントから始まる。
このマルウェアは、Windowsレジストリを変更することで感染したホスト上での持続性を確保するだけでなく、コマンド・アンド・コントロール(C2)サーバーとの接続を確立し、追加のペイロードを取得してコマンドを実行する。
Peihan Liao氏は、「これらの行動は、ファイル操作、レジストリ操作、ダウンロード、情報の窃取、ファイルの実行、C2サーバーからのDynamic Link Libraries(DLL)の関数の呼び出し、被害者のコンピュータの制御、プロセスの終了、マルウェアのアンインストールなどに大別できる」と付け加えた。
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/bandook-rat-variant-targets-windows-system-security-in-attack.html。
