出典:Ewa Olek(Alamyストックフォト経由)
2019年に初めて登場したオープンソースのマルウェアツールであるAsyncRATは、世界中のサイバー犯罪者によって使用される分岐と亜種の迷路を生み出し、広範な脅威へと進化しました。
その多くの利用者は、GitHubのようなプラットフォームでコードが簡単に入手できることに惹かれた単独の個人である可能性が高いです。亜種自体は強力な攻撃プラットフォームから風変わりな個人用の創作物まで多岐にわたり、AsyncRATはオープンソースマルウェアがいかにサイバー犯罪を民主化しうるかの象徴となっていると、ESETの新たな調査は指摘しています。
現代マルウェアの礎
「AsyncRATは現代マルウェアの礎としての地位を確立しました」とセキュリティベンダーは述べています。「その機能自体はそれほど目立つものではありませんが、AsyncRATのオープンソース性こそが、その影響力を本当に増幅させているのです。」
Nyan Catという名前を使う個人が2019年にGitHubでAsyncRATを公開しました。このマルウェアはC#で書かれており、キーロギング、スクリーンショット取得、認証情報の窃取など、リモートアクセス型トロイの木馬(RAT)の標準的な機能をすべて備えています。そのモジュール設計により、悪意のある機能を追加で組み込むことも可能です。
その後、このコードはESETが「分岐と亜種の迷路」と表現するほど多くの派生を生み出し、その中には非常に危険なものもあれば、そうでないものもあります。
これらの亜種の中でも特に強力なのがDcRatとVenomRATで、どちらも元のマルウェアの中で最も広く使われている亜種です。ESETの分析によると、DcRATはデータ転送の仕組みや難読化・回避機能において、元のAsyncRATよりもはるかに高度です。また、ESETはこの亜種がWebカメラやマイク録音へのアクセス、Discordトークンの窃取、感染システム上のデータ暗号化など、より多くのプラグインをサポートしていることも発見しました。VenomRATも同様の機能を多く備えており、DcRATから着想を得た可能性が高いとESETは述べています。「このマルウェアは非常に多くの機能を備えており、それ自体が独立した脅威と見なせるほどです」とセキュリティベンダーは指摘しています。
一方で、AsyncRATの亜種であるBoratRAT、JasonRAT、NonEuclid RATなどは、信頼できる脅威というよりも、珍しい分岐や好奇心をそそる存在のようです。たとえばNonEuclid RATには、5つのジャンプスケア画像が組み込まれたプラグインや、任意のWAV音声ファイルを再生するプラグインが含まれています。
危険な亜種とそうでないものを区別するために、ESETは実際のテレメトリとマルウェアの機能分析を組み合わせて利用したと、同社のマルウェアアナリストであるNikola Knežević氏は述べています。「DcRATのような分岐は、広範な利用とAMSI/ETWバイパス、ランサムウェアモジュール、アンチ解析技術などの高度な機能により、深刻な脅威と見なされています」と彼は言います。
「当社のテレメトリによると、AsyncRATは単独の個人によってより頻繁に利用されているようです。これは脅威アクターにとって参入障壁が低いことが要因でしょう」とKnežević氏は述べています。ESETが遭遇した多くの分岐はバージョン名の微調整に過ぎず、XieBroRATのように地域適応を示唆するものもありました。「しかし、これらの兆候は意図や出自を確定するものではありません。全体として、AsyncRATとその分岐は特定の脅威アクターグループに一貫して帰属されることなく、世界中に分布するツールとして残っています。」
今年初め、HP Wolf Securityの研究者は、GenAIを利用してAsyncRATを配布するコードが作成された脅威を観測したと報告しました。これはその種のものとして初めて確認された事例です。
オープンソースコードが後押しするサイバー攻撃
Knežević氏は、AsyncRATの広がりと長寿命の理由をGitHubのようなプラットフォームに求めています。これらは悪意ある者がソースコードを他者と共有できる手段を提供しています。脅威アクターによる広範な悪用にもかかわらず、これらの分岐は正当なリモートアクセスツールとしてブランド化されているため、しばしば削除を免れていると彼は述べます。また、削除された場合でも、新しい名前やわずかな変更を加えて再登場する可能性が高いです。
「さらに、AsyncRATのインスタンスを標的にするのは本質的に困難です。なぜなら、中央集権的なインフラが存在しないためです」とKnežević氏は指摘します。「このマルウェアは世界中の多様なアクターによって利用されており、協調的な撹乱ははるかに複雑かつ非現実的です。」
AsyncRATのような脅威から守るには、振る舞い検知、ネットワーク監視、エンドポイント検知と対応制御を組み合わせた多層防御が不可欠です。悪意ある者はしばしばフィッシングメールを通じてAsyncRATを配布し、検知を回避するために様々な難読化や回避戦術を用いるとKnežević氏は述べています。したがって、セキュリティチームは悪意あるスクリプト実行、異常な外部通信、異常なリモートアクセス試行の検知に注力すべきです。
翻訳元: https://www.darkreading.com/remote-workforce/async-rat-labyrinth-forks