Source: https://thehackernews.com/2025/09/new-yibackdoor-malware-shares-major.html
🛡 概要
サイバーセキュリティ研究者は新しいマルウェアファミリーYiBackdoorの詳細を公開しました。このマルウェアはIcedIDおよびLatrodectusと「重要な」ソースコードの重複があることが判明しています。Zscaler ThreatLabzによると、YiBackdoorは任意のコマンドを実行し、システム情報を収集し、スクリーンショットをキャプチャし、ダイナミックに機能を拡張するプラグインを展開できるといいます。YiBackdoorは2025年6月に初めて特定され、ランサムウェア攻撃の初期アクセスを容易にするために使用される可能性があります。
🔍 技術詳細
YiBackdoorは、仮想化環境やサンドボックス環境を回避するための初歩的な対分析技術を備えています。また、WindowsのRunレジストリキーを使用してホスト上に持続性を確保します。最初に、マルウェアDLLをランダム名の新しいディレクトリにコピーし、次にレジストリにregsvr32.exe悪意のあるパスを追加し、自己削除します。YiBackdoorは、埋め込まれた暗号化された設定を使用してコマンド&コントロール(C2)サーバーを抽出し、HTTPレスポンスでコマンドを受信します。CVEやCVSSに関する情報はまだ確認されていませんが、コードの重複が多いため、同じ開発者によるものと考えられています。
⚠ 影響
YiBackdoorは主にIcedIDやLatrodectusと関連しているとされており、これらのマルウェアが持つ機能を拡張する可能性があります。現在のところ、限られた展開しか確認されていないため、さらなる開発やテストが行われていると考えられます。特に、ランサムウェア攻撃の前段階としての役割を果たす可能性があることから、組織にとっては深刻な脅威となるでしょう。攻撃者はYiBackdoorを使用してシステム情報を収集し、スクリーンショットを取得することで、ターゲットシステムの詳細を把握することが可能です。
🛠 対策
YiBackdoorからの防御には、最新のアンチウイルスソフトウェアと脅威検出システムの導入が重要です。また、システムやネットワークの監視を強化し、異常な動作や不審な通信を早期に発見することが必要です。ユーザー教育も重要であり、フィッシング攻撃や不審なリンクのクリックを避けるためのトレーニングを実施することが推奨されます。さらに、定期的なバックアップを行うことで、万が一の攻撃に備えることができます。これらの対策を講じることで、YiBackdoorや類似のマルウェアからのリスクを軽減することができるでしょう。
