研究者たちは、パプアニューギニア、ガーナ、モンゴル、ジンバブエ、ナイジェリアなど複数の地域に広がっている PlugX USB ワームの新しい亜種を追跡しています。
このマルウェアはDLL サイドローディングを使用して、正規に見えるexecutableを通じてペイロードを読み込み、感染したシステムに潜み、一般的なマルウェアよりも静かに動作するのに役立ちます。
感染は、ローダーとして悪用されるクリーンプログラムで始まり、その横で悪質なDLLが実行されます。
説明されたインシデントでは、マルウェアは AvastSvc.exe、wsc.dll、および暗号化された .dat ペイロードを使用し、その後、システムの詳細と盗まれたファイルを非表示の RECYCLER.BIN 構造に収集しました。
ワームはバッチファイルを使用して、IP 設定、ネットワークの状態、実行中のプロセス、およびシステム情報などのホストデータを収集しました。これはマルウェアが流出前にターゲットをマッピングするための一般的な方法です。
マルウェアはリムーバブルメディアを使用して拡散しました。USB ドライブに自身をコピーし、Windows 属性でファイルを隠し、エクスプローラーでドライブが空または無害に見えるようにショートカットを使用しました。
USB スティックはネットワーク接続を必要とせずにあるシステムから別のシステムに移動できるため、これはワームを隔離された環境を越えるのに特に有用にしています。
このキャンペーンの珍しい部分はその地理的位置です。感染活動は時間経過に伴い遠く離れた場所で観察され、単一のローカルアウトブレイクではなくワームのような伝播モデルを示唆しています。
研究者たちはまた、新しいペイロードとコマンド&コントロール コールバックを、以前の PlugX レポートに現れた IP アドレスにリンクし、これが完全に新しい株ではなく進化した PlugX ファミリー キャンペーンであるという考えを強化しました。
PlugX は DLL サイドローディング悪用の長い歴史を持つ既知のリモートアクセストロイの木馬であり、セキュリティ研究者は何年もの間その亜種を追跡しています。
ここで説明されているキャンペーンは、マルウェアが更新されたときに古い技術がまだ機能することを示し、配信パスが最新の環境に適応しています。
セキュリティチームは、USB アクティビティ、非表示ディレクトリ、リムーバブルメディア上の疑わしいショートカットファイル、およびシステム検出コマンドを実行するバッチスクリプトも監視する必要があります。
リムーバブルドライブからの実行をブロックし、エンドポイント制御を厳しくすることで、感染した USB スティックがネットワークへの橋渡しになる可能性を減らすことができます。
このキャンペーンは、ステルスと地域的な広がりと組み合わせた場合、古いマルウェア技術が効果的なままであることを思い出させるものです。
USB 伝播、サイドローディング、およびファイル盗難の組み合わせにより、PlugX はリムーバブルメディアに依存している組織、または弱いエンドポイント監視を持つ組織に対する継続的な脅威になります。
翻訳元: https://cyberpress.org/plugx-worm-spreads-globally/