「Millenium RAT」と呼ばれる安価なTelegram制御型リモートアクセス型トロイの木馬(RAT)が、160か国以上で6万台以上のWindowsデバイスに感染しており、そのほとんどが2026年の最初の3か月間に確認されました。
セキュリティ企業Group-IBが公開した新たな分析レポートによると、このマルウェアの最新バージョンは.NETフレームワークからネイティブC++へと書き直されており、検出能力の低いセキュリティツールをかわしやすくなっています。
Millenium RATはマルウェア・アズ・ア・サービス(MaaS)として安価に販売されており、コマンドの受信にはTelegram Bot APIを使用するため、攻撃者は独自のサーバーを用意する必要がありません。
検出回避を狙ったリライト
Millenium RATは2023年に.NETプログラムとして初めて登場しました。Group-IBによると、バージョン4ではその依存関係を完全に排除し、libcurlライブラリを使ってTelegramと通信するネイティブC++アプリケーションとしてコンパイルされています。
正規のメッセージングサービスを経由してコマンドをやり取りすることで、マルウェアは通常のネットワークトラフィックに紛れ込むことができます。
本格的なRATとして、Millenium RATはブラウザからデータを窃取し、キーストロークを記録するほか、スクリーンショットの撮影や音声の録音も行えます。さらに他のファイルをダウンロード・実行する機能も備えており、一部のコマンドはファイルの暗号化やブルースクリーンの発生を引き起こします。
Group-IBは、このマルウェアはエクスプロイトを一切使用せず、Windowsの標準機能のみに依存していると指摘しています。管理者権限の取得には、標準的なユーザーアカウント制御(UAC)プロンプトを表示し、被害者が承認することを期待する手法をとっています。
サービスとして販売されるRATについてさらに読む:新たなSilabRATトロイの木馬、セッションハイジャックで暗号資産を窃取
低価格サブスクリプションと罠を仕掛けたおとり
ShinyEnigmaという名前を使う開発者が、アンダーグラウンドフォーラム、GitHub、そして専用ウェブサイトでMillenium RATを販売していることが確認されており、初月50ドル、その後は月額10ドル、または生涯アクセスで90ドルという価格設定になっています。
Group-IBはこれらのキャンペーンを、同社が「Y2K Operators」として追跡するグループに帰属させており、テレメトリデータでは感染数が62,289件に達し、そのうち39,730件は2026年第1四半期だけで確認されたと述べています。
Y2K Operatorsはソーシャルエンジニアリングに依存しており、ゲームチート、クラックソフトウェア、ハッキングツールに偽装した罠入りのダウンロードファイルを通じてトロイの木馬を拡散させています。
研究者らによると、確認された事例の一つでは、攻撃者は同業の犯罪者も標的にしており、AsyncRATやXWormといった人気ツールにバックドアを仕込み、他の攻撃者が自ら感染するよう仕向けていました。インストール後、マルウェアはデータを窃取する前にWindowsのシステムファイルを装うことが多いです。
新バージョンが引き続き登場していることから、Group-IBはさらなる機能やアンチフォレンジックの手法が追加されると予測しています。同社は、低価格なサブスクリプションモデルによってスキルの低い攻撃者でも高機能なトロイの木馬を入手できる状況になっているとして、ユーザーに対し予期しない権限昇格プロンプトへの注意を促すとともに、信頼できないソースからのファイル実行を避けるよう警告しています。
翻訳元: https://www.infosecurity-magazine.com/news/millenium-rat-telegram-60000/
