SOMPO CYBER SECURITY
Vidarは2018年に出現したインフォスティーラー型マルウェアです。標的システムからクレジットカード番号、アカウント情報、ファイル、スクリーンショット、仮想通貨ウォレットなど様々な情報を窃取します。
Infoblox社のリサーチによれば、このマルウェアはダークウェブフォーラム上で250USDで販売されています。
フィッシングメールや本物そっくりに作られた偽サイト(AnyDesk等)、海賊版ソフトへの混入等を通じてホストに感染し、様々な情報を窃取します。
現在も運用方法の改善や挙動の改良が進められており、Google Adを用いたマルバタイジングや、Bumblebeeを用いた配送例も存在します。
このマルウェアは、セキュリティ製品やシステム管理者によるブロックを回避する目的で、TelegramやInstagram、TikTok、Mastodon、Steam、Dropboxといった著名なプラットフォームを中間C2サーバーとして利用することが確認されています。侵害システムにおいて実行されたマルウェアは、脅威アクターが作成したSNS等のアカウントにアクセスし、そこからC2サーバーへ接続し、悪意ある動作を実行します。
上に列挙したようなプラットフォームは、新規アカウントを作成することが容易です。このためアカウントが削除されたとしても脅威アクターは速やかに別のアカウントを作成し、C2サーバーへの中継点として運用することが可能です。
他に、セキュリティ製品のサンドボックス環境を検知した場合は動作を停止します。
Vidarは収集したデータをBase64でエンコードし、Zipファイルで圧縮した後、C2サーバーに転送します。
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年3月 先般、自称ハクティビストグループであるAnonymous Sudanが新DDoS攻撃サービス「I...
セキュリティ対策ツール導入のための稟議書の準備には苦労が多いのではないでしょうか?どう書いていいのかわからない、いつものテンプレートに必要なポイントが全て含まれているのか不安、といった方のために、受け取る側が必要とする情報を的確に記載した稟議書のテンプレートと一緒に、稟議書作成の極意をまとめました。 *本ホワイトペーパーのコンテンツは、エムオーテックス株式会社より提供いただいております。 こんな方...
2021年7月 イスラエルにあるSOMPO Digital Lab Tel Aviv内に発足したサイバーチームが発信するニュースレターを紹介します。今回のニュースレターでは、Webアプリケーションスキャナーを比較・検討する際に、実際に用いた手順を紹介します。 Max Cohen@SOMPO Digital Lab Tel Aviv | 2024年2月 記事に関するご意見・お問い合わせはこちらへお寄...