最新のマルウェアはまもなくLinux、Macオペレーティングシステムを攻撃する可能性があります

レポートによると、AridViperとして追跡されているアクティブなグループにリンクされた最近発見されたWindows情報を盗むマルウェアは、LinuxおよびMacオペレーティングシステムに感染するために使用される可能性があると説明しました。

Unit 42によるPyMICROPSIAという名前の元のトロイの木馬は、DesertFalconおよびAPT-C-23としても追跡されたAridViperアクティビティの調査中に公開されました。少なくとも2011年以来、中東の標的に攻撃を集中させているアラビア語を話すサイバースパイの組織。

AridViperは主にパレスチナ、エジプト、トルコで活動しており、被害者のほとんどは2015年に3000人を超えました[PDF]。グローバルリサーチアンドアナリシスチームによると。

コード内で新しい攻撃ベクトルが開始されます。

  • PyMICROPSIAは、特にWindowsベースのオペレーティングシステムを標的とするPythonベースのマルウェアです。サイバー犯罪者は、バイナリで生成されたpyInstallerを使用します。 Unit 42は、発明者がマルチプラットフォームサポートの追加に取り組んでいる可能性のあるコードスニペットも発見しました。
  • 主にWindowsオペレーティングシステムをターゲットにするように設計されていますが、コードには、ユニット42として「posix」や「drawin」などの他のオペレーティングシステムをチェックする興味深いスニペットが含まれています。
  • 他のプロジェクトからコードをコピーして貼り付ける際にマルウェアの開発者によって導入された可能性があり、PyMICROPSIAtorjanの将来のバージョンで削除される可能性があります。

データの盗難と追加のペイロードの配信:

  • ユニット42は、PyMICROPSIAトロイの木馬に関して、侵害されたシステムとペイロードで見つかったマルウェアを分析したり、攻撃者のコマンドアンドコントロール(C2)サーバーからダウンロードしたりして、機能の長いリストを発掘しました。
  • 情報の盗難および制御機能のリストには、データの盗難、デバイスの制御、および追加のペイロード配布機能が含まれています。
  • PyMICROPSIAは、情報やファイルの盗難からWindowsプロセス、ファイルシステム、レジストリの相互作用に至るまで、幅広い目的でPythonライブラリを利用します。
  • C2サーバーからダウンロードする単一のペイロードの一部であるGetAsynckey状態APIを使用して実装されたトロイの木馬のキーロガー機能。
  • ダウンロードされたペイロードは、侵害されたSystem Windowsスタートアップフォルダー内の.LNKショートカットを減らすことにより、永続性を獲得するためにも使用されます。