マルウェアで退役軍人を攻撃するために作成された偽の求人サイト:知っておくべきことすべてがここにあります (08.18.25)
最近、米国の退役軍人は、彼らに仕事を提供する組織になりすました偽のWebサイトに邪魔されています。幸いなことに、彼らの多くはそれについての真実を知り、攻撃者が被害者のコンピュータを完全に制御できるようにするマルウェアを配布することのみを目的として作成されたものであることに気づきました。
CiscoTalosの研究者によるとグループ、組織はそれ自体をHire Military Heroes、またはHMHと呼んでいます。退役軍人がサイトにアクセスすると、求人を探すのに役立つと宣伝されているデスクトップアプリケーションをダウンロードするように説得されます。
Cisco Talos Groupは、このWebサイトの背後にいる作成者と攻撃者はべっ甲であることを強調しました。これは新たに特定された攻撃者であり、多くのIT企業を標的にして顧客データベースを取得しました。
グループはさらに次のように付け加えました。「これはTortoiseshellによる最新のアクションです。以前の調査では、攻撃者がサウジアラビアのITプロバイダーの攻撃者の背後にいることが示されていました。 Talosが追跡したこのキャンペーンでは、Tortoiseshellは過去と同じバックドアを使用しており、同じ戦術、技術、手順(TTP)のいくつかに依存していることを示しています。」
この偽のベテラン求人サイトマルウェアを拡散しますか?明らかに、マルウェアは米国の退役軍人を標的としています。そのため、テクノロジーに精通していない場合や、この偽のベテラン求人サイトにマルウェアが含まれていることにまったく気付いていない場合は、求められていることをすぐに実行するようになります。
仕組みは次のとおりです。サイトにアクセスすると、デバイス用のプログラムをダウンロードするように求められます。 Windowsコンピュータの場合、マルウェアはwin10.exeという名前のプログラムを含むzipファイルで提供されます。
プログラムが起動すると、小さなロード画面がポップアップ表示され、「Hire MilitaryHeroesは軍隊を雇うための新しいreimgです」と示されます。現在データベースに接続していることを被害者に納得させようとしています。
実際のところ、画面が表示されている間、マルウェアはすでに他の2つのマルウェアエンティティをダウンロードしてコンピューターに保存しています。
後で、「セキュリティソリューションがサーバーへの接続を終了しています」というアラートが画面に点滅します。偽のアラートは、プログラムを安全かつ正当に見せるためにのみ表示されます。
この時点で、2つのマルウェアエンティティがすでにダウンロードされており、バックグラウンドで実行されています。最初のマルウェアは被害者とコンピューターに関する情報を収集するために作成され、もう1つは攻撃者から提供されたすべてのコマンドを実行します。
マルウェアはどのようにしてユーザー情報を収集しますか?ダウンロードされた最初のマルウェアエンティティは、合計111個のコマンドを実行します。これらはすべて、被害者とコンピューターに関するあらゆる情報を収集することを目的としています。
実行されると、コマンドはコンピューター上に存在するすべてのファイル、ドライブに関する情報、すべてのアクティブなプロセスを一覧表示します。役立つネットワーク情報、すべてのネットワーク共有、ファイアウォールデータ、デバイスに構成されている既存のユーザーアカウント、その他の詳細。
すべての情報が収集されると、すべてが%Temp%という名前のファイルに保存されます\ si.cab。その後、被害者のGmailメールクレデンシャルを使用して攻撃者に送り返されます。
マルウェアは攻撃者から送信されたコマンドをどのように実行しますか?前述のように、被害者のコンピュータにダウンロードされるマルウェアエンティティは2つあります。 1つ目は情報を収集し、2つ目は攻撃者から送信されたコマンドを実行します。
2番目のマルウェアエンティティは、リモートアクセス型トロイの木馬の形をとります。これはWindowsサービスとしてインストールされ、dllhostという名前が付けられます。自動的に起動するように構成されているため、Windowsが起動するたびに実行する必要があります。
アクティブになると、トロイの木馬は作成者と制御サーバーに通信します。これらのサーバーを介して、マルウェアはファイルをアップロードしたり、サービスを終了したり、その他のコマンドを実行したりするコマンドを受け取ります。
これまで、マルウェアがどのように配布されているかは不明です。研究者たちは、「出版時点では、配布方法は使用されておらず、これが実際に存在しているという証拠もありません。使用される.NETバイナリは、ハードコードされたクレデンシャルなどのOPSEC機能が不十分であるため、高度なレベルは低くなりますが、マルウェアをモジュール化して被害者がすでに実行していることを認識することにより、他のより高度な手法が使用されます。」
また、「APTの複数のチームがこのマルウェアの複数の要素に取り組んだ可能性があります。これは、特定のレベルの高度化とさまざまなレベルの被害者学が見られるためです。」
マルウェア防止のヒントマルウェアエンティティからコンピュータを保護したい場合は、予防策を講じる必要があります。考慮すべきいくつかの便利なヒントを次に示します。
ヒント#1:マルウェア対策ソフトウェアをインストールします。これは明らかなヒントのように思えるかもしれませんが、多くの人は無視することを好みます。はい、お使いのコンピュータにはすでにマルウェア対策保護機能が組み込まれている可能性があります。しかし、あなたは決してそう確信することはできません。セキュリティを次のレベルに引き上げるために、信頼できるサードパーティのマルウェア対策ソフトウェアをコンピュータにインストールすることをお勧めします。マルウェア対策ツールをインストールした後の次のアクションは、OSが最新であることを確認することです。
ヒント#2:オペレーティングシステムを最新の状態に保ちます。macOS、Linux、Windowsのいずれを実行しているかに関係なく、常に最新の状態に保つのはあなたの仕事です。 OSの開発者は、以前に報告されたバグや問題を修正することを目的としたセキュリティパッチのリリースに常に取り組んでいます。
ヒント#3:ネットワークが安全であることを確認してください。私たちは皆、コンピュータを使用してプリンタに接続しています。他のコンピューター、そしてもちろんインターネット。すべての接続が安全であることを確認するには、強力なパスワードを使用する必要があります。
また、可能であれば、オープンなWiFiネットワークをブロードキャストしないでください。 WEPはすでに古くなっているため、WPAまたはWPA2暗号化を使用するのが理想的です。ほんの数分で、ハッカーはすでにWEP暗号化をバイパスできます。
SSIDやWiFiネットワークの名前をブロードキャストしないようにすることもお勧めします。これは、デバイスにネットワークを手動で設定する必要があることを意味する場合がありますが、より安全なネットワークを提案します。
ヒント#4:クリックする前に考えてください。これは常識の使用を必要とするもう1つのヒントです。メールの送信者がわからない場合は、何もクリックしないでください。最初にリンクにカーソルを合わせて、どこに移動するかを知る習慣をつけてください。さらに、ウェブからファイルをダウンロードする必要がある場合は、実行する前にまずファイルをスキャンします。
ヒント#5:オープンWiFiネットワークへの接続を避けます。図書館などの公共の場所にいるときは、コーヒーを飲みます。ショップや空港では、オープンなWiFiネットワークに接続しないでください。特に銀行のアプリや機密性の高いドキュメントにアクセスする場合は、必ずこれを行ってください。攻撃者が同じネットワーク上にいて、次の被害者が餌に落ちるのを辛抱強く待っている可能性があります。
ヒント#6:重要なファイルのバックアップを作成します。最悪の事態が発生した場合、できる最善のことは、重要なファイルのバックアップを作成することです。理想的には、バックアップを別のストレージデバイスに保存する必要があります。このようにして、コンピュータを開くことができなくなったときに、バックアップを簡単に復元して、ファイルとドキュメントを別のデバイスで準備できます。
ヒント7:アクションを実行します。すべてのヒントとここで共有される情報は、何もしなければ無駄です。もちろん、マルウェア攻撃を防ぐために、率先してできることは何でもする必要があります。マルウェア対策ソフトウェアをインストールしないと、脅威がシステムに大混乱をもたらす方法を見つける時期が来るでしょう。
ここでのポイントは行動を起こすことです。コンピュータの前に座っているだけでは、マルウェアエンティティに対して何も起こりません。
概要彼らがいつも言っているように、「それが真実であるには良すぎるなら、それはおそらくそうではない」。考えてみてください。あなたは仕事を稼がなければなりません。プログラムやアプリをダウンロードするだけでは簡単に着陸することはできません。就職に役立つプログラムをダウンロードするように指示するWebサイトを見つけた場合は、すぐに閉じてください。さあ、あなたは常に多くの合法的なウェブサイトでまともな仕事を見つけることができます。
賢くなりなさい。これらの詐欺的な戦術にだまされてはいけません。ハッカーがあなたから重要な情報を盗む方法を見つけられないように、予防策を実施してください。
他の同様のマルウェアエンティティに遭遇したことがありますか?どのように対処しましたか?コメントでお知らせください。
YouTubeのビデオ: マルウェアで退役軍人を攻撃するために作成された偽の求人サイト:知っておくべきことすべてがここにあります
08, 2025