SprySOCKS Windowsバックドア、カーネルドライバーでプロセス・ファイル・ネットワークトラフィックを隠蔽
これまでLinux専用とされていたバックドア「SprySOCKS」のWindowsバリアントが発見されました。FishMonger(別名:Earth Lusca/TAG-22)との関連が長く指摘されているこのマルウェアは、ツールセットの拡張が続いています。 内部ラベルが「WIN_DRV」と「WIN_PLUS」の2つの
タグ: FishMonger
FishMongerがTCP・UDP・WebSocketのC2チャネルを駆使したSprySOCKS Windows攻撃
ESETのサイバーセキュリティ研究者が、中国のサイバースパイグループ「FishMonger」の戦術における大きな変化を明らかにしました。同グループは請負業者I-SOONとの関連が指摘されています。 この脅威アクターは、これまで文書化されていなかったSprySOCKSのWindows版を2種類開発しました。SprySO
FishMongerの兵器庫が進化:Windows版SprySOCKSの登場
ESETの研究者は、SprySOCKSのWindowsバリアント2種を新たに発見しました。このバックドアはこれまでLinux専用とされており、I‑SOONという中国系請負業者が運営していると報告されているFishMongerが使用していたものです。マルウェアサンプルはまずVirusTotalで発見されましたが
SprySOCKSバックドア、LinuxからWindowsへ拡大
中国と連携するスパイグループが使用するバックドアが、LinuxからWindowsへと対象を広げ、侵害の検知に防御側が頼るツールから自身を隠すカーネルレベルのステルス機能を新たに獲得しました。 ESETによる新たな分析により、SprySOCKSのWindowsバージョンが2種類新たに発見されました。SprySOCKSは、
SprySOCKS Linuxマルウェアのウィンドウズ版、政府機関への攻撃に使用
SprySOCKS Linuxマルウェアのウィンドウズ版が、少なくとも4か国の政府機関を標的とした攻撃に使用されていることが明らかになりました。 SprySOCKSはこれまで、中国の脅威グループ「Earth Lusca」と関連付けられており、同グループは外交・技術・通信分野を担う政府機関への攻撃にこのマルウェアを使用