ハッカーがUSBマルウェア、RAT、およびステーラーを使用して東南アジアの政府組織を攻撃

概要

2025年6月から8月にかけて、攻撃者はUSB経由で拡散するマルウェアと複数のRAT（リモートアクセスツール）、ローダー、およびカスタムステーラーを使用して東南アジアの政府組織を標的とした。

アナリストはUSB経由で拡散するマルウェア「USBFect」（HIUPANとも呼ばれる）を最初に観察しました。このマルウェアは、リムーバブルドライブを通じて拡散し、PUBLOADバックドアを使用して横方向への展開を行います。

USBFectとPUBLOAD：
攻撃者はUSBFectをUSBメディアを通じてエンドポイント間で移動させ、ディスク上にコンポーネントを展開しました。USBFectはモジュールをインストールし、新しいリムーバブルまたはホットプラグ可能なドライブの存在を監視します。
CL-STA-1048クラスタ：
このクラスタでは、EggStremeFuelという軽量TCPバックドアとMasol RATが使用されました。これらのツールはファイル操作やリバースシェルのサポートを提供し、検出を回避するための技術を使用しました。
CL-STA-1049クラスタ：
HypnosisローダーとFluffyGh0st RATが使用されました。HypnosisローダーはBitdefenderの正当な実行ファイルを介して悪意のあるDLLをサイドロードしました。

Palo Alto Networksでは、これらの攻撃に対する検出とブロックのためのセキュリティサービスを提供しています。組織はUSB使用ポリシーを見直し、DLLサイドローディングの露出やEDRカバレッジを強化することが推奨されます。

元記事: https://gbhackers.com/hackers-deploy-usb-malware/