最も広く観測されているリモートアクセス型トロイの木馬であるAsyncRATは、30以上のフォークや亜種を生み出しており、オープンソースマルウェアの影響力を高め、サイバー犯罪者にとって人気かつ時には偽装されたツールとなっていると、ESETの研究者は火曜日に発表したレポートで述べています。
2019年にGitHubで初めて公開されたこのオープンソースのリモートアクセスツールは、サイバー攻撃で一貫して確認されており、最も一般的にはスパムキャンペーン、フィッシング、悪意のある広告を通じて拡散されていますが、より標的を絞った攻撃ではソフトウェアの脆弱性を悪用して配布されることもあると、ESETのマルウェア研究者Nikola Knežević氏はCyberScoopに語りました。
「過去1年だけでも、AsyncRATおよびその亜種に関連する数万台規模のユニークな感染マシンの活動を検知しています」とKnežević氏は述べています。
AsyncRATは依然として最も広く展開されていますが、他の亜種も広く流通しており、リモートアクセス型トロイの木馬ファミリーに関連する攻撃の相当数を占めています。ESETのテレメトリーによると、DcRatが最も広く拡散されており、ユニークなサンプル感染の24%を占め、次いでVenomRATが8%となっています。
「私たちが確認したすべてのフォークの中で、VenomRATは特に懸念すべきものの一つだと考えています。その理由は、ステルス性の向上、多数のプラグイン、攻撃的な機能が豊富であるためです」とKnežević氏は述べています。「よりシンプルなDcRatとは異なり、VenomRATは多くの機能をクライアントに直接統合しており、外部モジュールへの依存を減らし、より自己完結型となっています。また、フィッシングキットと一緒にバンドルされることが多く、多段階攻撃で展開されることもあります。」
ESETはレポートの中でAsyncRATの複数のフォークを特定しており、中には作者がジョークとして公に認めているクローンも実際に野生で観測されていると指摘しています。
「AsyncRATやその亜種の独自性は、特定の技術的特徴にあるのではなく、その進化の規模と流動性にあります。他のオープンソースのモジュラー型リモートアクセス型トロイの木馬とは異なり、AsyncRATは異常なほど多くのフォークを生み出しており、VenomRATやDcRatのような深刻な脅威から、SantaRATのような珍しい亜種まで存在します」とKnežević氏は述べています。
AsyncRATには、キーロギング、画面キャプチャ、認証情報の窃取など、一般的なリモートアクセス型トロイの木馬の機能が含まれていますが、時間の経過とともにさまざまなフォークで追加機能も登場しています。
「この多様性により、各フォークが設定のレイアウトを変更したり、新たな難読化の層を追加したり、元のコードベースを完全に刷新したりする可能性があるため、一貫した検出ルールの維持がより困難になります」とKnežević氏は述べています。
VenomRATのような一部のフォークは、含まれる機能が多いため、独立したマルウェアと見なされたり見えることもありますが、ESETによると、これらはすべて同じマルウェアファミリーの一部です。防御側は通常、マルウェアの設定や値からフォークを特定できます。
「これらは共通の系統を持ち、類似した設定構造、暗号化ルーチン、プラグインアーキテクチャなど、重複する特徴を示すため、比較的分類しやすいです」とKnežević氏は述べています。「これらの共通点を認識することは、防御側にとって非常に重要であり、マルウェアが高度に難読化されていたり、表面的にリブランドされていた場合でも、より効果的な検出や帰属判断が可能になります。」