公開された「Banana RAT」インフラから、ペイロード生成ツールと難読化ツールが明らかに

Shodan経由で発見された、198[.]245[.]53[.]26に存在する公開インデックス済みサーバーからは、単純なステージングファイルにとどまらず、稼働中のペイロード生成バックエンドと難読化ツールが明らかになりました。これらは2つの異なるBanana RATの系統に紐づいていました。

このホストは、静的なステージ(st.txt、payload.php)に加え、FastAPIベースのビルダー(servidor_completo_pool.py)およびofuscador.pyという難読化補助ツールをホストしていました。

これにより研究者は、古いETWをテーマとした系統(2026年5月25日)と、より高度なWebSocket対応の系統(2026年6月09日)を比較することができました。両者は同一のステージングインフラを使用していました。

この継続性が本件を特異なものにしています。防御側は単発のサンプルのスナップショットではなく、攻撃者主導による進化の過程を観測できるのです。

古い検体は、公開されたホストから配布されたPowerShellローダーを中心に構成されていました。BATローダー(Fatura-BtgPactual-22568.bat、SHA256 BC4C29…C0C)がst.txtを取得し、続いてpayload.phpを取得する仕組みです。

このマルウェアは、Microsoft社のETW関連アーティファクトを模した静的なインストールを展開していました。具体的には、ProgramDataおよびAppDataのパス配下に設置されたmsedge.txt、レジストリエントリ、スケジュールタスクを利用した起動プログラム、そしてMicrosoftEdgeUpdateCore.exeという名前の実行ファイルが含まれます。

ネットワークテレメトリは、実行時のC2通信が擬似的なMicrosoft風のホスト名c.windowns-cdn.com(149[.]56[.]12[.]51、TCP/443で名前解決)に接続されていたことを示しています。

古い系統は、予測可能なアーティファクト名と単純なHTTPSステージングを使用していたため、「windowns」というタイプミスに気づきさえすれば、クラスタリングや検知が比較的容易でした。

Image

これに対し、6月の検体では意図的な運用面での強化が見られました。ステージファイルはst.phpに変更され、PowerShellのステージング処理ではTLS 1.2が強制されるようになりました。

永続化の手法も、固定されたETWテーマのファイル名から、ProgramData\Microsoft<ハッシュ値>配下のランダム化された識別子へと移行し、隠しPowerShellランタイムを呼び出すVBSランチャー(c9dba5b0552d.vbs)が使用されるようになりました。

GBhackersに共有されたレポートの中でANY.RUN社が述べているように、Banana RATはブラジルの金融活動、特にオンラインバンキングのセッションやPix関連の詐欺を標的とすることで既に知られています。

公開されたBanana RATインフラ

この検体は、ランダム化されたSvcName(例: 7c70c4282dfc72fa)を持つスケジュールタスクを作成し、SYSTEM権限で実行します。権限昇格ができない場合はHKCUのRunキーにフォールバックします。

ネットワーク通信は暗号化されたWebSocketへと移行しています。ランタイムはMD5(MachineGuid).testewin.comという形でホスト固有のドメインを生成し、wss://<ハッシュ値>.testewin.com:443/agentに接続します。

観測されたDNS名前解決では、Cloudflareのエッジサーバー(104[.]21.39.21、172[.]67.142.55)が返される一方、このペイロードはフォールバック用のapexドメイン(cdn.testewin.com)とフォールバックIP(149[.]56[.]12[.]51)を保持しており、これが新しい系統と古いインフラを直接結びつける証拠となっています。

公開されていたインデックスから回収された重要なアーティファクト、特にservidor_completo_pool.pyとofuscador.pyは、稼働中のMalware-as-a-Service(サービスとしてのマルウェア)体制を示しています。

Image

servidor_completo_pool.pyは、ポリモーフィック型ペイロードのプールを事前に生成し、複数の難読化レイヤーを適用した上で、オンデマンドで亜種を配布するためのエンドポイント(/proteger、/warmup、/stats、/folders)を公開するよう設計されています。

ofuscador.pyは、ASCIIの序数変換を使って文字列を再構築することで、BATファイルでラップされたPowerShellのワンライナーを生成します。これは実際の検体で観測された初期の誘導手口と同種のものです。

Image

両系統に共通する安定した痕跡として、実用的な捜索対象が挙げられます。ステージングホストの198[.]245[.]53[.]26、ペイロード配信用のエンドポイント(/payload.php)、そしてフォールバックIPの149[.]56[.]12[.]51です。

一方で、両系統の差異は攻撃者による適応の様子を示しています。古い系統では静的なETWテーマのアーティファクト名とc.windowns-cdn.comが使われていたのに対し、新しい系統ではランダム化されたSvcName/ファイル名、VBSを利用した永続化、そしてハッシュ化されたtestewin.comのサブドメインを経由するWebSocket C2通信が確認されています。

今回の情報漏えいにより、公開されていたインフラ、サンドボックスのテレメトリ、そして回収されたランタイムのアーティファクト(例: payload_new.php.malw、SHA256 D82894…43B2はランタイムの抽出データと一致)の間の関連性が裏付けられる形となりました。

2019年のSOC向けに書かれたSLAをそのまま使い続けていませんか?——2026年版AI SLAベンダーチェックリスト——無料のAI SOC SLAガイドをダウンロード

翻訳元: https://gbhackers.com/exposed-banana-rat-infrastructure/

ソース: gbhackers.com