ANY.RUNの週次トラッカーのデータによると、先週の脅威状況はリモートアクセス型トロイの木馬(RAT)と認証情報窃取マルウェアの双方における急増によって特徴づけられました。
研究者らは主要なすべてのマルウェアファミリーにおいてアップロード数の急増を確認しており、攻撃者が初期アクセスツールと持続的なデータ収集活動を組み合わせて運用していることが示されています。
AsyncRATは824件のアップロード数で全マルウェアファミリー中トップとなり、前週比+293件の増加を記録しました。もともとGitHub上でC#と.NETフレームワークを用いてオープンソース公開されたAsyncRATは、その後DCRatやVenomRATをはじめとする危険な派生マルウェアを数多く生み出しています。
ANY.RUNによると、感染経路は多岐にわたります。悪意あるOfficeマクロを含むフィッシングメール、偽のソフトウェアインストーラー、侵害されたウェブサイトからのドライブバイダウンロード、そして近年増加しているソーシャルメディアを介したペイロード配布などが確認されています。
Trend Microが観測した最近のキャンペーンでは、脅威アクターがネットワーク層のフィルタリングを回避するためにCloudflareの無料サービスを経由してAsyncRATを配信していることが明らかになっています。DCRat(Dark Crystal RAT)は371件のアップロード数で続き、前週比+142件の増加を記録しました。
ロシア語圏のアンダーグラウンドフォーラムでMaaS(Malware-as-a-Service)として配布されているDCRatは、ランサムウェアの展開、ウェブカメラのハイジャック、キーストロークのロギング、暗号資産ウォレットの窃取といった機能を持つモジュール式プラグインを備えています。
商業的な入手のしやすさと定期的に更新されるプラグインアーキテクチャにより、標的型・日和見型の両キャンペーンを通じて広く使用され続けています。
スティーラーランキングではVidarが首位を獲得し、421件のアップロード数(+195)を記録しました。2018年から活動するMaaS型のVidarは、現在TelegramチャンネルやSteamコミュニティプロフィールをC2インフラとして活用しており、正規トラフィックに紛れ込む形で検出を回避する手法を採用しています。
Stealcは314件のアップロード数(+131)を記録しました。C言語で書かれたStealcは、マルバタイジング、SEOポイズニングされたダウンロードサイト、偽のソフトウェアクラックを通じて配布されます。ブラウザ、暗号資産ウォレット、メールクライアント、メッセンジャーのトークンを標的とし、C2サーバへの暗号化HTTPPOSTリクエストを経由してすべてのデータを窃取します。
SalatStealerは264件のアップロード数(+51)を追加し、スティーラー急増の締めくくりとなりました。Go言語で開発されたSalatStealerは、ブラウザの認証情報、暗号資産ウォレット、Telegramセッションを標的としており、YouTubeやアンダーグラウンドフォーラムで宣伝された偽のクラックツールやチートツールを主な配布手段としています。
ANY.RUNによると、窃取された認証情報は今や「持続的な攻撃インフラ」として機能しており、脅威アクターはこれを用いて境界型セキュリティコントロールを完全に迂回し、数週間にわたってネットワーク内部で静かに活動できるようになっています。
調査によると、ランサムウェア被害者の54%が、ランサムウェアが展開される以前にドメイン認証情報がスティーラーログマーケットプレイスに流出していたことが確認されており、スティーラーから侵入へとつながる一連のパイプラインが実際に悪用されていることが裏付けられています。
XWorm(-127件)、ConnectWise(-129件)、Netwire(-43件)、Remcos(-14件)はいずれもアップロード数が減少しました。ただし、サンドボックスへの提出数の減少は、必ずしも実際の野外での展開数の減少を意味するわけではありません。
ConnectWiseとRemcosは、環境寄生型(LotL)攻撃において依然として広く悪用されているリモート管理ツールです。SOCチームに推奨される対応の優先事項は以下のとおりです。
認証情報の窃取とリモートアクセス活動が同時に増加する中、初期侵害から持続的なアクセス確立までの時間は短縮されています。企業のSOCチームにとって、いかに迅速に脅威を検出できるかが最も重要な防御上の変数となっています。
翻訳元: https://cyberpress.org/stealer-malware-asyncrat-dcrat/