サイバー攻撃者、nslookup.exe を悪用して DNS 経由でマルウェアを配布

サイバー攻撃者が nslookup.exe を悪用

サイバー攻撃者は、nslookup.exe という合法的な Windows コマンドラインツールを使用して、DNS 経由でマルウェアを配布する新たな「ClickFix」キャンペーンを開始しました。

背景と手法の進化

サイバーセキュリティ研究者 Muhammad Hassoub は、攻撃者が従来の高ノイズツールから離れて合法的なシステムバイナリを使用する傾向が強まっていることを観察しています。これにより、攻撃者は通常のネットワークトラフィックと混在することで、検出を避けることが可能になります。

nslookup.exe の悪用

従来のキャンペーンでは、攻撃者が PowerShell スクリプトを使用してマルウェアを配布していましたが、これはセキュリティソフトウェアによって容易に検出される可能性がありました。しかし、現在のキャンペーンでは nslookup.exe を使用し、DNS チャネルを通じて悪意のあるデータを取得します。

新しい攻撃手法の特徴

この特定の攻撃方法における重要な革新点は、「Name」応答フィールドを使用してペイロードをステージングすることです。これにより、従来の TXT レコードよりも監視が少ないため、不審なデータ転送を隠すことができます。

検出と脅威ハンティング

攻撃者が合法的なシステムバイナリを使用することで、標準セキュリティプロトコルによる検出が困難になります。nslookup.exe を使用すると、初期実行は通常の管理タスクとして表示されます。

脅威ハンティングリソース

Muhammad Hassoub 研究者は、この特定の感染ベクトルを検出するための CrowdStrike CQL（CrowdStrike クエリ言語）ハントリードを公開しました。これらのクエリは、セキュリティオペレーションセンター (SOC) が通常の DNS トラフィックから nslookup.exe の異常な使用を識別するのに役立ちます。

対策と今後の展望

セキュリティチームは、この新しいインジケーターを取り入れて検出ロジックを更新し、ペイロードのステージングを防ぐことが推奨されています。これにより、サイバー攻撃者による新たな脅威に対応することが可能になります。

元記事: https://gbhackers.com/hackers-abuse-nslookup-exe-in-clickfix-campaign/

サイバーニュース.jp

サイバー攻撃者、nslookup.exe を悪用して DNS 経由でマルウェアを配布

サイバー攻撃者が nslookup.exe を悪用

背景と手法の進化

nslookup.exe の悪用

新しい攻撃手法の特徴

検出と脅威ハンティング

脅威ハンティングリソース

対策と今後の展望

投稿をさらに読み込む

Palo Alto Networks CEO 見ての AI は需要ドライバー、脅威ではない

AIの接続組織が深刻なセキュリティリスクに直面

AI Under Control: Link11 Launches AI Management Dashboard for Clean Traffic

中国の並行CVEシステムが脆弱性開示タイムラインを暴露