Kaspersky Lab は、ブラウザから HTTPS サイトへのデータ送信中にデータの暗号化に使用される乱数生成器を偽装できる、Reductor と呼ばれる悪意のあるツールを発見しました。これにより、攻撃者がユーザーの知らないうちにブラウザーのアクティビティをスパイする可能性が高まります。さらに、見つかったモジュールには、このソフトウェアの機能を最大限に活用するリモート管理機能が含まれていました。
攻撃者はこのツールを使用して、CIS諸国の在外公館に対してサイバースパイ活動を実行し、主にユーザートラフィックを監視しました。
マルウェアのインストールは主に、Turla サイバー グループのツールとして以前に特定されていた COMPfun 悪意のあるプログラムを使用するか、正規のリソースからユーザーのコンピュータへのダウンロード中に「クリーンな」ソフトウェアを置き換えることによって行われます。これはおそらく、攻撃者が被害者のネットワーク チャネルを制御していることを意味します。
「この種のマルウェアに遭遇したのはこれが初めてで、ブラウザの暗号化をバイパスして長期間検出されないままになります。その複雑さのレベルは、Reductor の作成者が本格的な専門家であることを示唆しています。多くの場合、このようなマルウェアは政府の支援を受けて作成されます。しかし、Reductor が特定のサイバー グループに関連しているという証拠はありません」と、Kaspersky Lab の主要なウイルス対策専門家、Kurt Baumgartner 氏は述べています。
すべての Kaspersky Lab ソリューションは、Reductor プログラムを正常に認識してブロックします。感染を避けるために、カスペルスキーは次のことを推奨しています。
- 企業のITインフラストラクチャのセキュリティ監査を定期的に実施します。
- Kaspersky Security for Business などの暗号化されたチャネルを通じてシステムに侵入しようとする脅威を認識してブロックできる Web 脅威保護コンポーネントを備えた信頼性の高いセキュリティ ソリューションをインストールするだけでなく、複雑な脅威を検出するエンタープライズ レベルのソリューションもインストールします。初期段階のネットワーク レベル (例: Kaspersky Anti Targeted Attack Platform)。
- SOC チームを脅威インテリジェンス システムに接続し、攻撃者が使用する新規および既存の脅威、手法、戦術に関する情報にアクセスできるようにします。
- 従業員のデジタルリテラシーを向上させるためのトレーニングを定期的に実施します。
出所: 3dnews.ru