Millenium RATのバージョン4.*は、コンパクトながら強力な進化を遂げています。このマルウェアは.NETからネイティブC++へと移行しつつも、専用サーバーインフラを必要としないTelegramベースのC2(コマンド&コントロール)モデルを継続採用しています。
Group-IBが分析したサンプルセットおよびテレメトリによると、このRATはRCDATAリソース内に設定全体を埋め込み、ハードコードされたパスワードを使ったBase64とカスタムXORレイヤーによってその設定を難読化したうえで、libcurl経由でTelegram Bot APIを活用してコマンドの受信とデータの窃取を行います。
このシンプルながら効果的な難読化とサーバーレスC2の組み合わせにより、従来のネットワーク指標に頼る防御側にとって検知・遮断はより困難になっています。
技術的な仕組みとしては、Millenium RAT 4.*は長いBase64ブロブを含む埋め込みPEリソースを読み取ります。このブロブには、動作パラメーターを変えずにサンプルハッシュを意図的に変化させるため、パイプ文字で区切られたランダムなパディングが含まれています。
Base64デコード後、インプラントはバイナリにコンパイルされたパスワード文字列を使ったXOR復号ルーチンを適用します。
復号後のプレーンテキストはパイプ区切りの設定文字列であり、TelegramトークンとチャットID、ポーリング間隔、永続化の名称と保存場所、キーロガー設定、そして数十種類の機能フラグが含まれています。
設定は実行時に内部リソースから完全に解決されるため、デコード済み設定を抽出・正規化しない限り、ファイルシステムやネットワーク上での静的シグネチャマッチングは有効性が低くなります。
実行時、このネイティブC++ RATはすべての機能においてWindows APIを直接呼び出します。キーロギング、スクリーンショットおよびウェブカメラのキャプチャ、音声録音、ブラウザデータの窃取、ファイル管理、プロセス制御、そして任意のファイル暗号化など、いずれもカーネルエクスプロイトや高度な権限昇格を使用せずに実行されます。
権限昇格の試みは標準的なUACプロンプトに依存するのみです。C2通信は、Telegram Bot APIのgetUpdatesエンドポイントへの繰り返しHTTPSリクエストによって実装されており、メッセージはシンプルな区切り文字ベースのフォーマットとコマンドを紐付けるための埋め込みボット識別子を使って構成されています。
Millenium RATは2023年11月3日にCYFIRMAの脅威レポートで初めて公表され、当初はマルウェアバージョン2.4として追跡されていました。Group-IBの最新インテリジェンスは、脅威状況における大きな進化を示しています。
TelegramへのC2依存は攻撃者にとって運用上の利便性をもたらします。C2ホスティングコストを不要にするとともに、悪意のある通信を正規の暗号化APIコールに紛れ込ませることで、ネットワークベースの検知を困難にします。
Millenium RATによるBase64とXORの活用
Group-IBは活発な配布活動を「Y2K Operators」と呼ぶクラスターに帰属させ、開発者「ShinyEnigma」のプロファイルを作成しています。同開発者は低価格なMaaS(Malware-as-a-Service)型攻撃としてこのRATを販売しています。
管理者権限の取得試行は正規のUACプロンプトメカニズムに依存しており、ユーザーが昇格リクエストを承認することを前提としています。
MaaSモデルの採用、アンダーグラウンドおよび公開コードホスティングプラットフォームでの積極的な宣伝、そして豊富な機能を持つペイロードが急速な普及を後押ししています。テレメトリによると、160か国以上で62,289件のエンドポイント感染が確認されており、そのうち39,000件以上は2026年第1四半期だけで発生しています。
確認されている配布手法には、トロイの木馬化されたクラックツール、ハッキングツールバンドル、暗号資産やゲーム関連ツールを装ったルアーなどが含まれます。また、複数のキャンペーンでデコイPDFを使用し、連鎖するPowerShell/VBSステージャーによってペイロードを静かに実行する手法も確認されています。
防御側は、不審なPEファイルから埋め込みRCDATAリソースを抽出・デコードすることを優先し、Base64+XORの特徴的なアーティファクトやハードコードされたTelegramボットトークン・チャットIDの存在を確認することが重要です。
通常とは異なるホストからTelegram APIエンドポイントへのアウトバウンド通信をフィルタリングするネットワークテレメトリと、%APPDATA%インストールパスへのファイル書き込みおよびHKCU\Software\Microsoft\Windows\CurrentVersion\Run配下の自動実行を検知するエンドポイント防御を組み合わせることで、感染の発見が可能になります。
このRATが正規APIを悪用している点を踏まえると、脅威ハンティングではプロセスの親子関係、一時フォルダからの不審なPowerShell/VBS実行、そしてキーロガーやスクリーンショット活動を示すテレメトリを相関分析することが有効です。
侵害の痕跡(IOC)
| 種別 | URL |
|---|---|
| HTTP | http://158.94.208.168/files/8514679081/DRTjyu7.exe |
| HTTPS | https://www.thesnapchatmodapk.com/update1.exe |
| HTTPS | https://modedapk.net/update1.exe |
| HTTPS | https://75877.mcdir.me/files/doc1.exe |
| HTTP | http://kuttabilla.top/mr.exe |
| HTTP | http://62.60.226.97:5553/voshod.exe |
| HTTP | http://130.12.180.43/files/7924412375/upOSLDn.exe |
| HTTPS | https://blackhatusa.com/setup.exe |
| HTTPS | https://blackhatusa.com/clip.exe |
| HTTP | http://blackhatusa.com/mr.exe |
| HTTPS | https://blackhatusa.com/update.exe |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため意図的にdefang処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
翻訳元: https://gbhackers.com/millenium-rat-uses-base64-and-xor/
