スクリーンショットでは、次のことが起こります。オーディオドライバは、Windowsレジストリにエントリがあるかどうかを確認し、それを見つけられず、オーディオファイルをハードドライブに書き込みます。調査により、Realtekオーディオチップのドライバーにバグが発見されました。デバッグモード(DebugFunction = 1)を有効にするフラグの存在を確認しましたが、レジストリにエントリがない場合の状況は正しく解決されませんでした。ユーザーの知らないうちに、マイクが自分に宛てられたときはいつでも(たとえば、研究者がサウンド設定を開いたとき)、マイクからのサウンドの録音を開始しました。
監査を要求したセキュリティ担当者を理解できます。Windowsの一時ディレクトリにある一連のマイクの録音は、スパイウェアプログラムの痕跡と非常によく似ています。 2020年3月まで、このようなオーディオドライバーの活動は見過ごされる可能性がありました。しかし、リモートワークへの移行に伴い、何時間もの電話会議の録音がシステムディスクに記録され始めました。場合によっては、これがドライブのオーバーフローにつながることさえありました。これは明らかに、この事件の調査を開始しました。ただし、コンピュータの奇妙な動作は、必ずしも悪意のあるアクティビティを示しているわけではありません。単に間違いである場合もあります。
ERNWブログには、この問題の蔓延に関するデータはありません。障害のあるドライバーの特定のバージョンのみが示されています-RealtekHigh Definition AudioDriver6.0.1.8045。開発者はかなりよくある間違いを犯しました。必要なキーがレジストリに登録されていると、デバッグ中にドライバーの誤った操作が見えなくなりました。そしてもう1つ、標準ソフトウェアのこのような「機能」は、本当に悪意のあるアクションに簡単に適応できます。
他に何が起こったのか
カスペルスキーによる調査。 1つ目は 、ユーザーPCに対するランサムウェア-ランサムウェア攻撃の絶対数を減らすことです。リラックスしないでください。オペレーターは、広範囲にわたるマルウェアから企業への標的型攻撃に明確に切り替えています。 2つ目は、 2021年の第1四半期におけるAPTグループの活動に関するレポートです。
Brian Krebs は、米国の主要な信用局であるExperianのAPIの穴について書いています。長い間、データベースは許可なくアクセスされる可能性がありました。
暗号通貨は無料の継続的インテグレーションツールを殺しています。このようなソリューションのプロバイダーであるLayerCIのブログでは、次の ように説明しています。暗号通貨をマイニングするために他の人のリソースで独自のコードを実行できるシステムを悪用しようとします。 Emotetボットネットが破壊された後、 Haveibeenpwnedデータベースに
400万を超える電子メールアドレス が表示されました。このような非標準のデータソースを使用すると、コンピューターのマルウェア感染の結果としてパスワードが盗まれたユーザーに通知できます。