出典:maxuser/Shutterstock
成功するフィッシングキャンペーンは、通常、巧妙な被害者欺瞞の手口と、ステルス性・持続性・高度な回避技術の層を組み合わせており、脅威アクターが侵害されたシステムやネットワークへのアクセスを静かに維持できるようになっています。
その代表例が、Fortinetの研究者が「MostereRAT」と名付けて追跡している、バンキングマルウェアからリモートアクセス型トロイの木馬(RAT)へと変貌した新たなオペレーションです。この攻撃は、あまり知られていないプログラミング言語の利用、セキュリティツールの改ざん、正規かつ広く使われているソフトウェアの悪用を連鎖させることで、サイバー攻撃者に被害者環境への隠密かつ長期的なコントロールを与えます。
月曜日に公開されたレポートで、FortinetのFortiGuard Labsは、特にアンチウイルス(AV)やエンドポイント防御の無効化、通常のIT活動に紛れて悪意のある活動を隠蔽する点で、このキャンペーンが攻撃者の手口の深刻なエスカレーションを示していると警告しました。被害者の傾向としては、これまでのところ日本のMicrosoft Windowsユーザーが標的となっていますが、最終的な目的は不明だと、FortinetのFortiGuard Labsの脅威リサーチャーであるYurren Wan氏は述べています。
長期的な戦略的目的?
「このマルウェアの設計は、長期的かつ戦略的で柔軟な目的を反映しており、機能拡張や追加ペイロードの展開、回避技術の適用が可能です」とWan氏は語ります。「これらの特徴は、侵害されたシステムへの持続的なコントロールの維持、被害者リソースの最大活用、貴重なデータへの継続的なアクセスを意図していることを示しています」と警告しています。
このフィッシングキャンペーンは、ごく一般的な手口で始まります。日本のWindowsユーザーをターゲットに、悪意のあるウェブサイトへのリンクをクリックさせるよう仕向けるメールが送られます。そのサイトは自動的に、埋め込みアーカイブファイルを含む細工されたWord文書をダウンロードします。フィッシングメール自体は正規のビジネス文書を装い、ごく普通のビジネス問い合わせのように見えます。
罠が仕掛けられたWord文書は、MostereRATを侵害システムに展開するためのインフラや持続性メカニズムを構築する役割を果たします。このマルウェアを特徴づけているのは、そのモジュールがEasy Programming Language(EPL)という中国製のプログラミング言語で書かれている点です。脅威アクターがマルウェア開発でEPLを使うことは稀です。Fortinetによると、EPLを使う目的は、防御側によるマルウェアの検出や解析を困難にするためで、多くのセキュリティツールがこの言語に最適化されていないためです。
一度システムにインストールされると、MostereRATは暗号化されたペイロードを段階的に解凍・実行します。Fortinetの分析によれば、マルウェアは主に2つのモジュールで構成されています。1つは持続性、権限昇格、AV回避、ペイロード展開を担当します。もう1つのモジュールはRATの中核機能を提供し、最大37のコマンド機能、安全な双方向認証(mTLS)によるC2通信、リモートアクセスツールの展開をサポートしています。
特に問題となる機能
Fortinetは、MostereRATの中でも特に防御側にとって厄介な機能をいくつか指摘しています。1つは、感染したシステム上で「TrustedInstaller」として実行できる能力で、これによりシステムファイルやレジストリエントリ、セキュリティ設定を管理者でもアクセスできないものまで改変できる権限を得ます。もう1つは、MostereRATが正規のリモートアクセスツールであるAnyDesk やTightVNCを侵害端末に展開し、攻撃者が警告を発することなく完全なリモートコントロールを得られる点です。
MostereRATには、数多くのAVやEDR製品名とそのインストールパスがハードコードされたリストも含まれており、これらをシステマティックに探し出して無効化できます。リストにはWindows Defender、ESET、Avira、Avast、Malwarebytes、AVG、Kaspersky、Bitdefender、Norton、Symantec、McAfee、さらに中国製の360 Safe、Kingsoft Antivirus、Tencent PC Managerなどが含まれます。その後、Windows Filtering Platform(EFP)フィルターを使い、これらのセキュリティ製品が検知データやアラート、イベントログ、その他のテレメトリを送信できないようにブロックします。この手法は、EDRSilencerというレッドチーム用ツールから流用されたもののようだとFortinetは述べています。
インストールされると、MostereRATは攻撃者にキーストロークの記録、機密データの窃取、隠し管理者アカウントの作成、AnyDeskやTightVNCを使った長期アクセスを可能にするとWan氏は述べています。
「主なポイントは、このマルウェアが検知回避のために創造的な手法を使っているものの…依然として過剰な権限を持つユーザーやアプリケーション制御のないエンドポイントを悪用するという一般的なパターンに従っていることです」とBeyondTrustのフィールドCTOであるJames Maude氏は述べています。「攻撃者が検知回避のために手法を進化させている今こそ、組織はユーザーのローカル管理者権限を削除することが重要です。」
多くのマルウェアキャンペーンは、権限昇格によってセキュリティ制御の改ざん、悪意あるソフトウェアのインストール、データの収集を行っています。「ローカル管理者権限を削除すれば、攻撃対象領域を大幅に減らし、マルウェア感染の影響を限定できます。」
MostereRATキャンペーンはまた、未承認のリモートアクセスツールのブロックが重要であることも浮き彫りにしています。これらのツールは脅威アクターによるアクセス獲得や持続性維持によく使われますが、正規かつ信頼されたベンダーによって署名されているため、EDRソリューションでは悪意のあるものとして検知されにくいのです。
「組織は、未承認のリモートアクセスツールの利用を監視し、理想的にはブロックすべきです」とMaude氏は述べています。「特に、自由にダウンロードできるものには注意が必要です。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/mostererat-blocks-security-tools