TokyoBlackHatNews

海外のセキュリティニュースをお届けします

thehackernews.com

新たなYiBackdoorマルウェア、IcedIDおよびLatrodectusとの大きなコードの類似性を共有

Byt0ddycat

9月 24, 2025 #.NET malware, #AI in Cybersecurity, #anti-analysis, #Code Overlap, #Command and control (C2), #IcedID, #Latrodectus, #Windows Security, #YiBackdoor, #ZLoader

2025年9月24日Ravie Lakshmananマルウェア / Windowsセキュリティ

新たなYiBackdoorマルウェア

サイバーセキュリティ研究者は、新たなマルウェアファミリーYiBackdoorの詳細を公開しました。このマルウェアは、IcedIDLatrodectusと「顕著な」ソースコードの類似性を共有していることが判明しています。

「YiBackdoorとの正確な関係性はまだ明らかになっていませんが、攻撃時にLatrodectusやIcedIDと併用されている可能性があります」とZscaler ThreatLabzは火曜日のレポートで述べています。「YiBackdoorは任意のコマンドの実行、システム情報の収集、スクリーンショットの取得、そしてマルウェアの機能を動的に拡張するプラグインの展開が可能です。」

このサイバーセキュリティ企業によると、同マルウェアは2025年6月に初めて確認されており、ランサムウェア攻撃の初期アクセスの補助など、後続の悪用の前段階として機能している可能性があるとしています。現在までにYiBackdoorの限定的な展開しか検出されておらず、開発中またはテスト中であることが示唆されています。

YiBackdoor、IcedID、Latrodectusの類似性を踏まえ、この新たなマルウェアは他の2つのローダーと同じ開発者によるものである可能性が中〜高程度の確度で評価されています。また、Latrodectus自体がIcedIDの後継と考えられている点も注目に値します。

YiBackdoorは、仮想化環境やサンドボックス環境を回避するための初歩的な解析回避技術を備えており、コア機能を「svchost.exe」プロセスにインジェクトする能力も持っています。ホスト上での永続化は、WindowsのRunレジストリキーを使用して実現されます。

「YiBackdoorはまず自身(マルウェアDLL)をランダムな名前の新規ディレクトリにコピーします」と同社は述べています。「次に、YiBackdoorはregsvr32.exe malicious_pathをレジストリ値名(疑似乱数アルゴリズムで生成)に追加し、フォレンジック解析を妨げるために自己削除します。」

マルウェア内に埋め込まれた暗号化済み設定情報は、コマンド&コントロール(C2)サーバーの抽出に使用され、その後、HTTPレスポンスでコマンドを受信するための接続を確立します-

  • Systeminfo:システムメタデータの収集
  • screen:スクリーンショットの取得
  • CMD:cmd.exeを使用したシステムシェルコマンドの実行
  • PWS:PowerShellを使用したシステムシェルコマンドの実行
  • plugin:既存のプラグインにコマンドを渡し、結果をサーバーに送信
  • task:Base64エンコードおよび暗号化された新規プラグインの初期化と実行

ZscalerによるYiBackdoorの分析では、YiBackdoor、IcedID、Latrodectus間で、コードインジェクション手法、設定復号キーのフォーマットと長さ、設定情報やプラグインの復号ルーチンなど、多くのコードの重複が明らかになりました。

「YiBackdoorはデフォルトでは機能がやや限定されていますが、攻撃者は追加のプラグインを展開することでマルウェアの能力を拡張できます」とZscalerは述べています。「現在までの限定的な展開状況を考えると、攻撃者はまだYiBackdoorの開発またはテストを行っている可能性が高いです。」

ZLoaderの新バージョンを確認#

この動きは、サイバーセキュリティ企業が2つの新バージョンZLoader(別名DELoader、Terdot、Silent Night)-2.11.6.0および2.13.7.0-を調査したことでも明らかになりました。これらはコード難読化、ネットワーク通信、解析回避技術、回避能力のさらなる強化が施されています。

注目すべき変更点としては、ネットワーク探索やラテラルムーブメントに活用可能なLDAPベースのネットワーク探索コマンドや、カスタム暗号化とWebSocketsの利用オプションを備えた強化されたDNSベースのネットワークプロトコルが挙げられます。

マルウェアローダーを配布する攻撃は、より精密かつ標的型となっており、無差別ではなく少数の組織にのみ展開されているとされています。

「ZLoader 2.13.7.0には、コマンド&コントロール(C2)通信のためのカスタムDNSトンネルプロトコルの改良とWebSocketsのサポート追加が含まれています」とZscalerは述べています。「ZLoaderは引き続き解析回避戦略を進化させ、検知回避のための革新的な手法を活用しています。」

翻訳元: https://thehackernews.com/2025/09/new-yibackdoor-malware-shares-major.html

By t0ddycat

Related Post

thehackernews.com

UNC5221、BRICKSTORMバックドアを使用し米国の法律・技術分野に侵入

9月 25, 2025 t0ddycat
thehackernews.com

Wondershare RepairItで発見された2つの重大な脆弱性、ユーザーデータとAIモデルが危険に

9月 24, 2025 t0ddycat
thehackernews.com

iframeセキュリティの盲点:決済スキマー攻撃を助長する見落とし

9月 24, 2025 t0ddycat

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


You missed

infosecurity-magazine-com

ShadowV2ボットネットがDDoS-as-a-serviceプラットフォームの台頭を露呈

2025年9月25日 t0ddycat
thehackernews.com

UNC5221、BRICKSTORMバックドアを使用し米国の法律・技術分野に侵入

2025年9月25日 t0ddycat
cyberscoop-com

イギリスで逮捕されたティーン、Scattered Spiderの活動の中核人物だった

2025年9月24日 t0ddycat
bleepingcomputer.com

Google:Brickstormマルウェア、米国組織のデータを1年以上にわたり窃取

2025年9月24日 t0ddycat