検索:
ホーム   »   FoxSocket

脆弱性攻撃ツール「PurpleFox」のWebSocketを悪用する新たなバックドア手口を解説

  • 投稿日:2021年11月8日
  • 脅威カテゴリ:脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

2021年9月、トレンドマイクロのManaged XDR(MDR)チームは、脆弱性攻撃ツール「PurpleFox」のオペレータに関連する不審な活動を調査しました。調査の結果、攻撃活動に用いるために追加された脆弱性(CVE-2021-1732)や、最適化されたルートキット機能を含め、更新されたPurpleFox攻撃の手法を調査することにつながりました。

さらに当チームでは、侵入活動中に埋め込まれた.NETで書かれた新種のバックドア型マルウェアを発見しました。このバックドアは、PurpleFoxとの関連性が高いと考えられます。トレンドマイクロが「FoxSocket」と呼称するこのバックドアは、WebSocketを悪用してコマンド&コントロール(C&C)サーバとの通信のやり取りを行うため、通常のHTTPトラフィックに比べてより強固で安全な通信手段となっています。

トレンドマイクロは、この特定の脅威が今も中東のユーザを狙っていると推測しています。この攻撃手口は、中東地域のお客様を通じて初めて発見されました。トレンドマイクロは現在、世界の他の地域でもこの脅威が検出されているかどうかを調査中です。

本ブログ記事では、最初に配信されるPurpleFoxのペイロードで観測されたいくつかの変更点に加えて、新たに埋め込まれた.NETバックドアや、これらの機能を配信するC&Cサーバのインフラストラクチャについて解説します。

(さらに…)

続きを読む
Tags: FoxSocketPowerShellPurpleFoxWebSocket


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.