Banana RATが偽Microsoftアーティファクトからランダム化されたProgramDataインストールパスへ移行

Shodanを通じて発見された198[.]245[.]53[.]26上の公開ディレクトリの露出は、Banana RATの急速な進化を垣間見る貴重な機会となりました。

研究者たちが発見したのは、単なる標準的なペイロードホストではなく、亜種生成のためのバックエンドロジックを備えた稼働中の配布インフラでした。

このサーバーに紐づく2件の異なるマルウェア検知(1件は2026年5月下旬、もう1件は2026年6月上旬)を比較することで、防御側は攻撃者が永続化手法、通信メカニズム、そしてアーティファクトの命名規則をどのように更新していったかを正確に追跡できます。

Banana RATは従来、ブラジルの金融関連活動やPix関連の詐欺を標的とすることで知られています。しかし今回の事案は、そのMalware-as-a-Service(サービスとしてのマルウェア)アーキテクチャの技術的な進化を浮き彫りにするものです。

これにより防御側は、単なる静的な侵害指標(IOC)リスト以上の情報を手にすることができます。

この公開ディレクトリからは、st.phpやmsedge.txtといった重要な運用ツールや標準的なステージングファイルが露出していました。研究者はさらに、FastAPIベースのサービスとして稼働する本番用ペイロード配布システムであるservidor_completo_pool.pyを発見しました。

このPythonスクリプトは、実働中のマルウェアビルダーとして機能し、変換処理の過程でスケジュールタスク文字列を積極的に保護しながら、多形態(ポリモーフィック)なペイロード亜種をあらかじめプール内に生成しておくものです。

主要インフラと並んで、補助スクリプトであるofuscador.pyも発見されています。

このツールはPowerShellコマンドを、BATランチャー内のASCII文字再構築ラッパーへと変換し、被害者を侵害するために使われる初期の誘導ファイルを生成します。

2026年6月9日までに、脅威アクターは同一のステージングホストを維持したまま、実行チェーンを大幅にアップグレードしました。

初期段階のファイルは、最終ペイロードを取得する前にTLS 1.2接続を明示的に強制するPHPベースの配信メカニズムへと切り替えられました。

さらに重要な点として、攻撃者は固定のイベントトレーシング用インストールパスを廃止し、高い柔軟性を持つランダム化された永続化モデルへと移行しました。

ANY.RUNによれば、コマンド&コントロール(C2)の仕組みにも大幅なアーキテクチャ刷新が加えられています。固定のタイポスクワッティングドメインを使う代わりに、新しいペイロードは被害端末固有のマシン識別子をハッシュ化することで、ホスト固有のドメインを導出するようになりました。

この結果、動的なサブドメインが暗号化されたWebSocket経由で専用のapexドメインへ直接通信する形になります。脅威アクターはさらに、この新しいインフラをCloudflareの背後に配置し、バックエンドの発信元IPを隠蔽しています。

こうした計算された変更により、防御側は付随的な混乱を招くリスクなしに、汎用的なドメインレベルのブロックリストによって中核インフラを容易にシンクホール化することが難しくなっています。

これほど高度な回避手法や通信手法のアップグレードを行っていながらも、攻撃者はコード内に重要な痕跡を残していました。新しいランタイムペイロードには、149[.]56[.]12[.]51へ直接つながるハードコードされたフォールバックIPアドレスが含まれていたのです。

この特定のネットワーク指標こそが、高度化した6月のWebSocket系統と、より古い5月の検知事例とを直接結びつけるものであり、両者が同一の進化し続けるキャンペーン基盤に属していることを裏付けています。

翻訳元: https://cyberpress.org/banana-rat-randomizes-paths/

ソース: cyberpress.org