YiBackdoorは、新たに確認されているマルウェアの名前です。
このマルウェアは、任意のコマンドの実行、システム情報の収集、スクリーンショットの取得、そしてマルウェアの機能を動的に拡張するプラグインの展開が可能な機能を搭載しています。
特徴を見てみましょう。
- 現地活動機能を持つ
任意のコマンドを実行し、システム情報を収集し、スクリーンショットをキャプチャし、マルウェアの機能を動的に拡張するプラグインを展開することができます。 - 回避機能が搭載されている
サンドボックスによるマルウェア検出を実施しようとする仮想環境を識別するコードが含まれています。
分析を妨害する機能を持っているといえます。 - LatrodectusやIcedIDとの類似性が高い
LatrodectusとIcedIDはコードの特性に類似する点が多いと確認されており、そのため同じ脅威アクターによるものなのではないかと考えられています。
そして、このYiBackdoorも、これら2つのマルウェアとのコードの類似性が高い内容となっています。
断定はできませんが、同じ脅威アクターによるものであると考えられます。
このYiBackdoorはまだ新しいものではありますが、熟練の脅威アクターの手によるものということかもしれません。
こういった内容のため、単体のマルウェアとしても、そのままで大規模な展開が可能となってしまいそうなものになってきています。
しかし、回避機能と追加モジュール展開機能などの組み合わせを考えると、単体の活動だけが想定されていると考えるのは危険かもしれません。
このマルウェアを足掛かりとしてランサムウェアを展開するといったような初期アクセス部分を担当するマルウェアとして大規模展開されていくことになるかもしれません。
新しい脅威は次々に生まれてきます。
身の回りの環境を適切なパッチケイデンスで維持し、ファイルの入手経路に注意するなどの人の部分も意識することで、こういった新しい脅威にも備えていきましょう。
YiBackdoor: A New Malware Family With Links to IcedID and Latrodectus
https://www.zscaler.com/blogs/security-research/yibackdoor-new-malware-family-links-icedid-and-latrodectus
| この記事をシェア |
|
|---|
